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Linux 是 一 款 优秀 的 操作 系统 ， 世 界 上 运算 最 快 的 超级 计算 机 里 运行 的 几乎 都 是 Linux 
操作 系统 。Linux 内 核 最 早 由 出 生 于 芬兰 赫尔辛基 的 计算 机 爱好 者 Linus Torvalds 开发 。 从 
技术 的 角度 来 说 ，Linux 这 个 词 本 身 只 表示 Linux 内 核 ， 但 实际 上 人 们 将 基于 Linux 内 核 ， 
并 且 使 用 GNU 工程 等 工具 和 数据 库 的 具有 类 似 Unix 功能 的 操作 系统 统称 为 Linux 。 
Linux 是 一 种 自由 和 开放 源码 的 类 Unix 操作 系统 ， 目 前 世界 上 有 许多 不 同 的 Linux 发 行 版 
本 ， 比 较 常 见 的 有 Ubuntu、Debian、Red Hat Linux、SUSE 及 国内 的 Red Flag 等 。Linux 
可 安装 在 包括 手机 、 便 捷 式 计算 机 、 路 由 器 、 视 频 游 戏 控制 台 、 台 式 计算 机 、 大 型 机 和 超 
级 计算 机 等 计算 机 硬件 设备 中 。 

近年 来 ， 随 着 高 校 课程 改革 的 逐渐 推进 和 教学 模式 的 不 断 优化 ， 有 些 学 校 的 计算 机 相 
关 专 业 率先 开设 了 Linux 领域 的 教学 课程 ， 把 Linux 操作 系统 作为 操作 系统 课程 类 的 基础 
课程 。 

在 编写 本 书 时 ， 考 虑 大 部 分 读者 为 初学 者 ， 所 以 在 结构 体系 上 采用 由 浅 入 深 、 循 序 渐 
进 的 方式 。 全 书 共 分 为 16 章 ， 其 中 前 7 章 为 基础 知识 的 讲解 ， 后 9 章 以 Linux 平台 上 常用 
服务 器 及 服务 器 集群 应 用 技术 为 主 ， 力 求 帮助 读者 在 初学 Linux 操作 系统 使 用 的 基础 上 逐 
渐 掌 握 Linux 平台 一 些 常 用 服务 器 及 集群 的 配置 方法 。 

本 书 在 编写 上 具有 以 下 特点 。 

(1) 内 容 组 织 有 序 ， 知 识 系统 全 面 。 

本 书 内 容 由 浅 入 深 ， 首 先 介 绍 Linux 系统 的 基本 概念 和 vi 等 常用 命令 的 使 用 ， 在 此 基 
础 上 进一步 介绍 DHCP、DNS 等 常用 服务 器 的 配置 技术 ， 最 后 讲述 Linux 集群 技术 等 目前 
业界 主流 的 Linux 技术 。 内 容 全 面 详尽 ， 涉 及 Linux 各 种 常用 的 命令 和 服务 配置 知识 ， 信 息 
量 大 ， 读 者 通过 对 本 书 的 研读 、 学 习 ， 可 以 掌握 各 种 常用 Linux 服务 的 配置 和 使 用 方法 。 

(2) 案例 翔实 、 图 例 丰 富 并 源 于 实际 。 

本 书 编者 有 多 年 Linux 领域 的 工作 经 验 ， 书 中 内 容 来 自 编者 平时 工作 的 积累 总 结 ， 举 
例 丰 富 直观 ， 可 以 帮助 读者 有 针对 性 地 学 习 实际 应 用 中 的 各 种 经 验 和 技巧 ， 迅 速 地 将 学 习 
到 的 知识 运用 到 实际 工作 中 。 

在 编写 本 书 时 ， 考 虑 大 部 分 读者 为 初学 者 ， 所 以 在 结构 体系 上 采用 由 浅 入 深 、 循 序 渐 
进 的 方式 进行 编写 ， 全 书 共 16 章 ， 前 7 章 为 基础 知识 的 讲解 ， 第 1 章 为 Linux 概述 ; 第 2 
章 主要 讲解 了 Linux 的 安装 与 磁盘 分 区 ; 第 3 章 介绍 了 Linux 的 vi 编辑 器 ;第 4 章 讲解 了 
Linux 下 的 命令 ; 第 5 章 讲 解 了 pm 包 管 理 、 系 统 启动 和 运行 级 别 ; 第 6 章 介 绍 了 Linux 
磁盘 技术 ; 第 7 章 学 习 Linux 网 络 基础 ， 后 9 章 以 Linux 平台 上 常用 服务 器 及 服务 器 集群 
应 用 技术 为 主 ， 力 求 帮助 读者 在 由 初学 Linux 操作 系统 使 用 的 基础 上 逐渐 掌握 Linux 平台 
一 些 常 用 服务 器 及 集群 的 配置 方法 。 第 8 章 学 习 了 SAMBA 服务 器 配置 ， 第 九 章 FTP 服务 
器 配置 ; 第 10 章 讲解 了 DHCP 服务 器 配置 ; 第 11 章 讲 解 了 DNS 服务 器 配置 ; 第 12 章 介 
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绍 了 WEB 服务 器 配置 、 第 13 章 学 习 了 MAIL 服务 器 配置 、 第 14 章 介 绍 了 Linux 防火 墙 
及 NAT; 第 15 章 讲 解 了 Linux 集群 ， 第 16 章 介绍 了 虚拟 机 和 Webmin 的 安装 。 

本 书 不 仅 适 合作 为 应 用 型 高 校 计算 机 专业 学 生 的 专业 课程 教学 用 书 ， 还 可 作为 其 他 专 
业 学 生 的 公共 课程 教学 及 Linux 培训 教学 用 书 。 同 时 本 书 还 可 作为 从 事 Linux 系统 运行 维 
护 、 网 络 管理 工作 的 工程 技术 人 员 的 技术 指导 有 用书。 为 了 方便 教学 ， 编 者 提供 了 配套 的 教 
学 材料 和 PPT， 读 者 可 从 我 社 (www.tup.com.cn) 网 址 下 载 。 

本 书 由 代 洪 涛 、 赵 清晨 两 位 老师 编著 ， 此 外 ， 徐 明 华 、 陈 丽 丽 、 张 丽 、 刘 攀 梦 、 付 中 
举 、 王 程 、 张 悦 、 王 亚 坤 、 周 杰 、 胡 文 华 、 胡 娜 、 尼 春雨 、 尼 朋 、 李 凤 云 、 蒋 军 军 等 人 也 
参与 了 本 书 的 校对 和 代码 调试 工作 ， 在 此 一 并 表示 感谢 。 

由 于 编者 水 平 有 限 ， 书 中 难免 有 玻 漏 和 不 足 之 处 ， 敬 请 广大 读者 批评 指正 。 
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学 习 目的 与 要 求 : 
Linux 是 一 套 免 费 使 用 和 自由 传播 的 类 Unix 操作 系统 ， 是 一 个 基于 POSIX 和 Unix 的 


多 用 户 、 


多 任务 、 支 持 多 线程 和 多 CPU 的 操作 系统 。 虽然 存在 着 许多 不 同 的 Linux 版 本 ， 


但 它们 都 使 用 了 Linux 内 核 。 本 章 将 对 Linux 操作 系统 和 它 的 发 展 史 进行 简要 介绍 ， 通 过 
对 本 章 的 学 习 ， 读 者 应 该 做 到 以 下 几 点 。 


了 解 Linux 的 发 展 。 

熟悉 Linux 操作 系统 的 特点 。 

熟练 掌握 Linux 内 核 版 本 号 的 意思 。 
熟悉 Linux 操作 系统 的 组 成 。 

熟悉 Linux 操作 系统 的 文件 系统 。 
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1.1 Linux 简介 


Linux 是 一 套 免费 使 用 和 自由 传播 的 类 Unix 操作 系统 ， 其 目的 是 建立 不 受 任何 商品 化 
软件 的 版 权 制约 的 、 全 世界 都 能 自由 使 用 的 Unix 兼容 产品 。 

Linux 内 核 最 早 由 一 位 名 叫 Linus Torvalds 的 计算 机 爱好 者 开发 。 这 个 操作 系统 可 用 于 
386、486 或 奔腾 处 理 器 的 个 人 计算 机 上 ， 并 且 具 有 Unix 操作 系统 的 全 部 功能 ， 是 一 个 完 
全 免费 的 操作 系统 。 因 为 Linux 的 内 核 代码 是 全 部 从 头 写 的 ， 符 合 POSIX 1003.1 标准 ， 并 
且 Unix 中 所 有 的 命令 Linux 都 有 ， 同 Unix 十 分 相似 ， 所 以 人 们 称 Linux 为 Unix 的 “ 克 
隆 ”。 严 格 地 说 ，Linux 只 是 一 个 操作 系统 的 内 核 ， 不 能 被 认为 是 一 个 操作 系统 。 用 
Stallman 的 话说 : “ 它 只 是 一 个 内 核 ， 正 确 的 叫 法 应 为 GNU/Linux 操作 系统 。 不 同 发 行 厂 
商 发 行 的 Linux 操作 系统 只 是 GNU(GNU Is Not Unix) 操 作 系统 的 某 个 发 行 版 。 而 Linux 是 
各 种 发 行 版 本 的 GNU 操作 系统 的 内 核 。” 

Linux 以 高 效 性 和 灵活 性 著称 。 它 能 够 在 个 人 计算 机 上 实现 全 部 的 Unix 特性 ， 有 具有 多 
任务 、 多 用 户 的 能 力 。Linux 可 在 GNU 公共 许可 权限 下 免费 获得 ， 是 一 个 符合 POSIX 标 
准 的 操作 系统 。Linux 操作 系统 软件 包 不 仅 包括 完整 的 Linux 操作 系统 ， 而 且 还 包括 文本 
编辑 器 、 高 级 语言 编译 器 等 应 用 软件 。 此 外 ， 它 还 包括 带 有 多 个 窗口 管理 器 的 X-Windows 
图 形 用 户 界 面 ， 如 同 使 用 Windows 操作 系统 一 样 ， 人 允许 用 户 使 用 窗口 、 图 标 和 菜单 对 系 
统 进行 操作 。 

Linux 之 所 以 受到 广大 计算 机 爱好 者 的 喜爱 ， 主 要 原因 有 两 个 : 一 是 它 属于 自由 软 
件 ， 用 户 不 用 支付 任何 费用 就 可 以 获得 它 和 它 的 源 代 码 ， 并 且 可 以 根据 自己 的 需要 对 它 进 
行 必要 的 修改 和 无 约束 的 继续 传播 ; 二 是 ， 它 具有 Unix 的 全 部 功能 ， 任 何 使 用 Unix 操作 
系统 或 想 要 学 习 Unix 操作 系统 的 人 都 可 以 通过 学 习 Linux 来 熟悉 Unix， 并 从 中 获 益 。 


1.2 Linux 系统 的 主要 特点 


Linux 系统 具有 以 下 特点 。 

(1) 良好 的 开放 性 : 指 系统 遵循 世界 标准 规范 ， 特 别 是 遵循 开放 系统 互 连 (OSD) 国 际 
标准 。 

(2) 支持 多 用 户 : 是 指 系统 资源 可 以 被 不 同 用 户 使 用 ， 每 个 用 户 对 自己 的 资源 (如 文 
件 、 设 备 ) 有 特定 的 权限 ， 互 不 影响 。 

(3) 支持 多 任务 : 是 指 计算 机 同时 执行 多 个 程序 ， 而 且 各 个 程序 的 运行 互相 独立 。 

(4) 良好 的 界面 : Linux 向 用 户 提供 了 两 种 界面 。 一 个 是 字符 界面 ， 另 一 个 是 直观 、 易 
操作 、 交 互 性 强 、 友 好 的 图 形 化 界面 。 在 图 形 界面 上 ， 利 用 鼠标 、 菜 单 、 窗 口 、 滚 动 条 等 
可 以 方便 地 操作 计算 机 。 

(5) 设备 独立 性 : 是 指 操作 系统 把 所 有 外 部 设备 统一 当 作文 件 来 看 待 ， 用 户 只 要 安装 
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它们 的 驱动 程序 就 可 以 使 用 ， 任 何 用 户 都 可 以 像 使 用 文件 一 样 来 操作 、 使 用 这 些 设 备 ， 而 
不 必 知 道 它们 的 具体 存在 形式 。Linux 是 具有 设备 独立 性 的 操作 系统 ， 它 的 内 核 具 有 高 度 
适应 能 力 。 

(6) 良好 网 络 功能 : 完善 的 内 置 网 络 是 Linux 的 一 大 特点 。 例 如 ， 用 户 可 以 把 Linux 
配置 成 一 个 防火 墙 ， 也 可 以 把 它 配 置 成 一 个 路 由 器 。 

(7) 可 靠 的 安全 性 : Linux 采取 了 许多 安全 技术 措施 ， 包 括 对 读 、 写 控制 、 有 保护 的 子 
系统 、 审 计 跟 踪 、 核 心 授 权 等 ， 这 为 网 络 多 用 户 环境 中 的 用 户 提供 了 必要 的 安全 保障 。 

(8) 良好 的 可 移植 性 : 是 指 将 操作 系统 从 一 个 平台 转移 到 另 一 个 平台 ， 使 它 仍然 能 按 
其 自身 的 方式 运行 的 能 力 。Linux 是 一 种 可 移植 的 操作 系统 ， 能 够 在 从 微型 计算 机 到 大 型 
计算 机 的 任何 环境 和 任何 平台 上 运行 。 


1.3 Linux 的 发 展 


Linux 发 展 已 有 多 年 的 历史 。 其 在 发 展 中 ， 始 终 遵 循 “ 自 由 软件 ”的 思想 ， 正 是 因为 
如 此 ， 它 才 得 以 发 展 壮大 。 据 统计 ， 累 计 有 70 多 万 人 参与 了 Linux 的 开发 工作 ， 现 在 开发 
社团 中 活跃 的 有 20 多 万 人 。 现 在 更 是 有 无 数 的 爱好 者 对 其 钻研 ， 以 期 更 加 完善 Linux。 

Linux 的 内 核 没 有 采用 任何 具有 专利 的 源 代 码 ， 大 量 工作 都 是 由 世界 各 地 的 开发 人 员 
自愿 完成 的 。 他 们 所 做 的 工作 如 下 。 

(1) 将 GNU 下 的 软件 移植 到 Linux 下 ， 并 开发 出 大 量 的 软件 。 

(2) 遵从 GPL， 使 Linux 系统 得 以 快速 改进 ， 不 断 推出 新 的 内 核 版 本 和 发 行 套件 版 
本 ， 使 其 支持 更 多 的 硬件 设备 ， 以 满足 更 为 广泛 的 应 用 需要 。 

目前 Linux 的 使 用 状况 如 下 。 

(1) 得 到 了 大 型 数据 库 软 件 公司 (如 Oracle、Informix、Ingres 等 ) 的 支持 。 大 型 数据 
库 软 件 公司 对 Linux 的 支持 ， 使 它 适 用 于 大 、 中 型 企业 的 信息 系统 建设 ， 从 而 更 具有 竞 
争 力 。 

(2) IBM 大 型 机 已 经 全 面 预 装 Linux 操作 系统 ，HP 公司 也 将 推出 自己 的 桌面 发 行 版 
本 ，SGI 公司 正在 开发 大 型 Linux 图 形 工作 站 。 

(3) 全 球 十 大 巨型 机 中 ， 有 一 半 在 使 用 Linux 操作 系统 。 

随 着 Linux 的 发 展 ， 出 现 了 越 来 越 多 的 成 功 的 开放 源码 软件 的 项 目 。 程 序 的 源码 是 公 
司 /个 人 宝贵 的 知识 财富 ， 开 放 源码 给 软件 人 员 提供 了 一 个 很 好 的 学 习 机 会 ， 使 这 些 知识 
富 得 以 复 用 。 开 源 的 另 一 个 好 处 是 互联 网 上 无 数 程序 员 研究 Linux 源 代码 ， 对 发 现 的 漏洞 
及 时 弥补 ， 使 得 Linux 更 加 稳定 、 更 加 安全 、 更 加 完美 。 


到 注意 : ”源码 是 一 个 载体 ， 承 载 了 开发 者 的 设计 思路 和 开发 经 验 。 
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1.4 Linux 内 核 版 本 简介 


Linux 内 核 版 本 指 的 是 在 Linux 领导 下 的 开发 小 组 开发 出 的 系统 内 核 的 版 本 号 。Linux 
的 内 核 版 本 由 3 部 分 组 成 : 主 版 本 号 、 次 版 本 号 和 末 版 本 号 。 其 中 ， 主 版 本 号 代表 较 大 的 
改动 ， 末 版 本 号 代表 较 小 的 改动 。 图 1-1 以 4.6.22 为 例 来 说 明 Linux 的 版 本 号 命名 规则 。 


1-1 版 本 号 说 明 


Linux 的 内 核 具 有 两 种 不 同 的 版 本 号 : 开发 版 本 和 稳定 版 本 。 

要 确定 Linux 内 核 版 本 的 类 型 ， 只 要 查看 版 本 号 的 第 二 位 数字 即 可 识别 : 如 果 第 二 位 
数字 是 偶数 ， 则 说 明 该 内 核 是 一 个 稳定 版 本 ， 如 果 第 二 位 数字 是 奇数 ， 则 说 明 该 内 核 是 一 
个 开发 版 本 。 例 如 ，4.2.21 是 一 个 稳定 版 本 ，4.3.10 是 一 个 开发 版 本 。 

Linux 的 两 个 版 本 是 相互 关联 的 。 开 发 版 本 最 初 是 稳定 版 本 的 副本 ， 稳 定 版 本 只 修改 
了 错误 ， 开 发 版 本 继续 增加 新 的 功能 。 例 如 ， 以 4.4.x 向 4.8.x 系列 的 发 展 为 例 ， 稳 定 版 本 
4.4.9 同时 被 定 为 开发 版 本 4.5.0 而 完成 分 支 ， 此 后 分 别 发 展 到 4.4.10 稳定 版 本 和 4.5.1 开发 
版 本 ， 然 后 按照 各 自 的 方式 升级 ， 如 图 1-2 所 示 。 
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稳定 版 本 是 从 上 一 个 开发 版 本 而 来 的 ， 而 一 个 稳定 版 本 发 展 到 完全 成 熟 后 就 不 再 发 
展 。 例 如 ，1-3 系列 开发 版 本 发 展 到 4.1.123 时 被 认为 已 经 成 熟 ， 即 升级 为 4.2.0。 这 个 过 程 
如 图 1-3 所 示 。 


1-3 ”开发 版 本 到 稳定 版 本 的 过 程 


这 样 做 的 好 处 是 : 一 方面 ， 可 以 方便 广大 软件 人 员 加 入 Linux 的 开发 和 测试 中 来 ， 另 
一 方面 ， 又 可 以 让 一 些 用 户 使 用 上 稳定 的 Linux 版 本 ， 做 到 开发 和 实用 两 不 误 。 要 获得 
Linux 内 核 的 详细 信息 和 各 个 版 本 ， 可 以 访问 网 站 http://www.kernel.org 进行 下 载 ， 用 户 可 
以 任意 下 载 自己 想 要 的 内 核 版 本 。 

目前 最 著名 的 发 行 版 本 有 Debian、 红 帽 (Red Hat)、 红 旗 (RedFlag)、Ubuntu、SUSE、 
Mandriva( 原 Mandrake) 等 ， 后 期 我 们 以 Red Hat( 红 帽 ) 公 司 的 产品 为 例 给 大 家 进行 介绍 。 


1.5 ”Linux 的 组 成 


严格 地 说 ，Linux 这 个 名 字 仅 仅 是 由 Linus Torvalds 主导 发 展 的 一 个 操作 系统 内 核 ， 而 
不 是 一 般 用 户 看 见 并 使 用 的 操作 系统 平台 。 但 由 于 Linux 内 核 得 到 了 广泛 使 用 和 宣传 ， 现 
在 一 般 所 指 的 Linux 包括 操作 系统 内 核 和 由 GNU 提供 的 一 系列 的 外 围 程序 ， 它 们 组 成 了 
能 够 提供 计算 机 硬件 管理 和 执行 用 户 操 作 请 求 功能 的 操作 系统 平台 。 这 个 系统 在 结构 上 可 
以 划分 为 4 个 部 分 : 内核、 运行 期 库 和 系统 程序 、Shell 和 实用 工具 程序 。 


1. 内 核 


内 核 是 系统 的 心脏 ， 是 运行 程序 和 管理 (如 磁盘 、 打 印 机 等 硬件 设备 ) 的 核心 程序 。 
主要 包括 文件 管理 、 设 备 管理 、 内 存 管 理 、 模 块 管理 、 网 络 管理 、 进 程 管理 等 方面 ， 一 
接受 运行 期 库 和 系统 程序 中 传递 过 来 的 用 户 命令 来 运行 (相当 于 汽车 的 发 动机 )。 


潭 人 吕 
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2. 运行 期 库 和 系统 程序 


运行 期 库 和 系统 程序 是 用 户 程序 与 内 核 的 接口 ， 封 装 了 内 核 向 外 提供 的 功能 接口 ， 将 
这 些 功能 加 入 一 定 的 权限 检查 后 ， 通 过 自己 的 应 用 接口 提供 给 一 般 用 户 进程 使 用 (相当 于 汽 
车 的 传动 和 连 杆 装置 )。 


3. Shell 


Shell 也 是 一 个 系统 程序 ， 但 与 后 台 工作 的 一 般 系 统 程序 具有 不 同 的 功能 。 它 直接 面 对 
用 户 ， 提 供 了 用 户 与 内 核 进行 交互 操作 的 界面 ， 接 收 用 户 输入 的 命令 ， 并 把 它 送 入 内 核 去 
执行 (相当 于 汽车 的 转向 盘 、 节 气门 和 制 动 等 工具 )。 

Red Hat Linux 操作 系统 支持 以 下 几 种 不 同 的 Shell。 

@ Bourne Shell: 由 贝尔 实验 室 开发 。 

@ Bash: 是 GNU 的 Boume Again Shell， 这 是 Red Hat Linux 操作 系统 上 默认 的 

Shell。 

@ Korm Shell: 是 对 Bourne Shell 的 发 展 ， 大 部 分 内 容 与 Bourne Shell 兼容 。 

@ CShell: 是 Sun 公司 Shell 的 BSD 版 本 。 

Linux 同样 提供 了 X Windows 的 图 形 用 户 界 面 (GUD。 它 提供 了 很 多 窗口 管理 器 ， 其 操 
作 就 像 Windows 一 样 ， 有 窗口 、 图 标 和 菜单 等 ， 所 有 的 管理 都 是 通过 鼠标 控制 的 。 现 在 比 
较 流行 的 窗口 管理 器 是 KDE 和 GNOME，Red Hat Linux 包括 这 两 种 窗口 管理 器 。 


4. 实用 工具 程序 


实用 工具 程序 是 用 来 完成 其 特定 工作 的 应 用 程序 。 标 准 的 Linux 系统 包括 一 套 实用 工 
具 程 序 ， 如 文本 编辑 器 、 数 据 处 理工 具 、 开 发 工具 、Intemet 工具 等 。 用 户 也 可 以 遵照 
Linux 的 规则 开发 自己 的 应 用 程序 。 这 些 应 用 程序 将 通过 Shell 或 其 他 系统 进程 、 运 行 期 库 
与 Linux 内 核 进行 工作 及 交流 ， 使 计算 机 能 高 效率 地 完成 自己 的 工作 。 


1.6 Linux 的 文件 系统 与 目录 


1. 文件 系统 


文件 系统 指 文件 存在 的 物理 空间 。 在 Linux 系统 中 ， 每 个 分 区 都 是 一 个 文件 系统 ， 都 
有 自己 的 目录 层次 结构 。Linux 最 重要 的 特征 之 一 就 是 支持 多 种 文件 系统 ， 并 可 以 和 许多 
其 他 操作 系统 共存 。 由 于 系统 已 将 Linux 文件 系统 的 所 有 细节 进行 了 转换 ， 所 以 Linux 核 
心 的 其 他 部 分 及 系统 中 运行 的 程序 将 运用 统一 的 文件 系统 ， 从 而 为 用 户 提供 快速 、 高 效 
率 、 广 泛 的 文件 访问 服务 。 

Linux 默认 采用 的 文件 系统 是 Ext(Extended File System， 扩 展 文件 系统 ) 系 列 。 现 在 
Linux 普遍 采用 Ext3 版 本 。Ext3 是 一 种 日 志文 件 系统 ， 在 对 该 系统 的 数据 进行 写 操作 之 
前 ， 将 会 把 操作 系统 内 容 写 入 一 个 日 志文 件 中 ，Ext3 文件 系统 能 够 极 大 地 提高 文件 系统 的 
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完整 性 ， 避 免 了 意外 宕 机 对 文件 系统 的 破坏 。Ext3 是 Ext2 的 升级 版 本 ， 通 过 共享 Ext2 的 
原 数据 格式 ， 继 承 了 Ext2 的 所 有 优点 ， 但 比 Ext2 更 安全 、 更 稳定 ， 因 而 目前 的 Linux 发 
布 版 本 把 Ext3 作为 默认 的 文件 系统 。Linux 系统 内 核 可 以 支持 的 其 他 文件 系统 有 : reisfs、 

xfsif 、jfs 、is09660、xfs、minx、msdos、umsdos、vfat、hpfs、nfs、smb、sysv、proc、 

fat、ntfs 等 。 


2. 文件 与 文件 名 


文件 是 Linux 用 来 存储 信息 的 基本 结构 ， 它 是 被 命名 (文件 名 ) 的 一 组 信息 的 集合 ， 存 
储 在 某 种 介质 (如 磁盘 、 光 盘 和 磁带 等 ) 上 。Linux 文件 均 为 无 结构 的 字符 流 形 式 。 文 件 名 是 
文件 的 标示 ， 可 以 由 字母 、 数 字 、 下 划 线 、 圆 点 构成 。 

Linux 要 求 文件 名 的 长 度 限 制 在 256 个 字符 以 内 ， 用 户 应 该 选择 有 意义 的 文件 名 。 为 
了 便于 管理 和 识别 ， 用 户 可 以 把 扩展 名 作为 文件 名 的 一 部 分 。 圆 点 用 于 分 隔 文件 名 和 扩展 
名 。 扩 展 名 对 于 文件 分 类 是 十 分 有 用 的 ， 但 对 文件 的 实际 内 容 并 没有 约束 力 ， 用 户 可 以 根 
据 自 己 的 需要 ， 随 意 为 某 个 文件 加 入 自己 的 文件 扩展 名 。 

以 下 例子 都 是 有 效 的 Linux 文件 名 : textfile、textfile.txt、textfile.c、textfile.bak。 


3. 文件 的 类 型 


Linux 有 4 种 基本 的 文件 类 型 : 普通 文件 、 目 录 文 件 、 链 接 文件 和 特殊 文件 。 

(1) 普通 文件 ， 如 文本 文件 、C 语言 源码 文件 ，Shell 脚本 等 。 可 用 less、cat、more、 
vi、emacs 文本 编辑 工具 来 查看 内 容 ， 用 mv 命令 来 改名 。 

(2) 目录 文件 : 包括 文件 名 、 子 目录 名 及 其 指针 。 它 是 Linux 存储 文件 名 的 唯一 地 
方 。 用 1s 命令 可 以 列 出 目录 文件 。 

(3) 链接 文件 : 是 指向 同一 索引 节点 的 目录 条 目 。 用 1s 命令 来 查看 时 ， 链 接 文件 的 标 
志 用 1 开头 ， 而 文件 后 面 以 “一 ”指向 所 连接 的 文件 。 

(4) 特殊 文件 : Linux 的 一 些 设备 ， 如 磁盘 、 打 印 机 等 硬件 设备 ， 都 在 文件 系统 中 表示 
出 来 ， 这 一 类 文件 是 特殊 文件 ， 放 在 /dev 的 目录 下 。 例 如 ，/dev/cdrom( 表 示 光驱 )， 硬 盘 分 
区 的 使 用 可 用 以 下 方式 表示 : /devhd*N。 可 以 有 如 下 选择 : “h” 表 示 IDE 接口 ，“s” 
表示 SCSI 接口 “* ”可 用 a、b、c、d 分 别 表 示 第 一 个 IDE 接口 的 master、slave 接口 和 
第 二 个 IDE 接口 的 master、slave 接口 :，“N” 可 用 1、2、3、4 来 表示 硬盘 的 第 一 、 二 、 
三 、 四 分 区 。 例 如 ，/dev/hdal、/dev/sdd1 分 别 表示 为 第 一 个 IDE 接口 的 主 盘 (master 盘 ) 的 
第 一 个 分 区 和 第 二 个 SCSI 接口 的 从 盘 (slave 盘 ) 的 第 一 个 分 区 。 

4. 目录 结构 

文件 目录 结构 就 是 对 文件 组 织 和 管理 的 方法 。 目 前 大 部 分 的 文件 目录 结构 采用 树 形 结 
构 来 管理 和 组 织 文 件 。 这 种 结构 有 一 个 文件 系统 的 “ 根 (Roob ”， 然 后 在 根 上 分 出 “ 树 
权 ”(Directory)， 任 何 树 权 又 可 以 长 出 树 权 ， 树 权 上 也 可 以 长 出 “树叶 ”。 同 样 ， 在 Linux 
系统 中 不 同 的 文件 系统 通过 虚拟 文件 系统 (Virtual File System，VFS) 界 面 ， 以 统一 的 树 形 目 
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录 结 构 来 组 织 和 管理 系统 中 的 所 有 文件 。 

“ 根 ” 和 “ 树 权 ”在 Linux 中 称 为 “目录 ”或 “文件 夹 ”。“ 叶 子 ” 则 是 一 个 个 的 文 
件 。 根 目录 为 起 点 ， 所 有 其 他 的 目录 由 根 目 录 派 生出 来 。 用 户 可 以 浏览 整个 系统 ， 可 以 进 
入 任何 一 个 有 权限 访问 的 目录 ， 访 问 那 里 的 文件 。 

Linux 目录 提供 了 一 个 管理 文件 的 方便 途径 。 每 个 目录 中 都 可 以 包含 文件 。 用 户 可 以 
为 自己 的 文件 创建 目录 ， 也 可 以 把 目录 下 的 文件 复制 或 移动 到 另 一 个 目录 下 ， 甚 至 能 移动 
整个 目录 ， 并 可 以 与 其 他 用 户 共享 目录 和 文件 。 

1) 工作 目录 和 用 户主 目录 

从 逻辑 上 讲 ， 用 户 在 登录 到 Linux 系统 中 后 ， 每 时 每 刻 都 处 在 某 个 目录 下 ， 此 目录 就 
是 工作 目录 或 当前 目录 (Working Directory)。 工 作 目 录 可 以 随时 改变 ， 用 户 初始 登录 到 系统 
中 是 其 主 目录 (Home Directory)， 那 么 这 时 的 主 目录 也 是 该 用 户 的 工作 目录 。 工 作 目 录用 
“.” 表 示 ， 其 父 目 录用 “..” 表 示 。 

用 户主 目录 是 系统 管理 员 添加 用 户 时 建立 起 来 的 (以 后 可 以 改变 )， 每 个 用 户 都 有 自己 
的 主 目录 ， 不 同 用 户 的 主 目录 一 般 不 相同 。 用 户 刚 登 录 到 系统 时 ， 其 工作 的 目录 便 是 该 用 
户主 目录 ， 通 常 与 用 户 的 登录 名 相同 。 用 户主 目录 用 “~” 表 示 。 

2) 路 径 

路 径 是 指 从 树 形 目录 的 某 一 个 目录 层次 到 某 个 文件 的 一 条 道路 。 此 路 径 的 主要 构成 是 
目录 名 称 ， 中 间 用 “/” 分 隔 。 任 何 文件 在 文件 系统 中 的 位 置 都 是 由 相应 的 路 径 决 定 的 。 

用 户 在 对 文件 进行 访问 时 ， 要 给 出 文件 所 在 的 路 径 。 路 径 又 分 为 相对 路 径 和 绝对 路 
径 。 绝 对 路 径 是 指 从 “ 根 ” 开 始 的 路 径 ， 也 称 完全 路 径 ， 相 对 路 径 是 从 用 户 工作 目录 开始 
的 路 径 。 

在 树 形 目录 结构 中 ， 到 某 一 确定 文件 的 绝对 路 径 和 相对 路 径 均 只 有 一 条 。 绝 对 路 径 是 
确定 不 变 的 ， 而 相对 路 径 是 随 着 用 户 工作 目录 的 变化 而 变化 的 。 认 识 这 一 点 对 于 以 后 使 用 
某 些 命令 (如 cp 、mv、tar 等 ) 大 有 好 处 。 

用 户 要 访问 一 个 文件 时 ， 可 以 通过 路 径 来 访问 ， 并 且 可 以 根据 访问 的 文件 与 用 户 工作 
目录 的 相对 位 置 来 引用 它 ， 而 不 需要 列 出 这 个 文件 的 完整 路 径 名 。 

例如 : 用 户 tom 有 一 个 名 为 class 的 目录 ， 该 目录 有 两 个 文件 class-1 和 class-2。 若 用 
户 tom 当前 的 目录 是 /home/tom， 需 要 显示 其 class 目录 中 的 名 为 class-1 的 文件 内 容 时 可 以 
使 用 下 列 命 令 。 

[TOM@hostl] ~~]$ cat /home/tom/class/class-1 

用 户 可 以 根据 文件 class-1 与 当前 工作 目录 的 相对 位 置 来 引用 该 文件 ， 命 令 如 下 。 

[TOM&host1 ~~]$ cat class/class-1 

3) 目录 结构 的 说 明 

Linux 系统 有 其 特定 的 文件 系统 的 目录 组 织 结构 ， 了 解 这 些 目录 结构 是 学 习 Linux 管 
理 操作 的 基础 ， 具 体 见 表 1-1。 
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表 1-1 Linux 目录 结构 说 明 


目录 说 明 

这 个 目录 是 系统 中 最 主要 的 可 执行 文件 的 存放 位 置 。 该 目录 包含 着 所 有 的 标准 命令 和 应 用 
程序 ， 一 般 用 户 和 超级 用 户 都 会 使 用 其 中 的 命令 ， 如 1s、su、mount 等 

该 目录 包含 了 Linux 系统 中 使 用 的 所 有 外 部 设备 ， 它 实际 上 是 访问 这 些 外 部 设备 的 端口 。 用 
/dev 户 可 以 访问 这 些 外 部 设备 ， 与 访问 一 个 文件 或 一 个 目录 没有 区 别 。 例 如 ， 在 系统 中 输入 “cd 
/devicdrom”， 就 可 以 看 到 光驱 中 的 文件 ， 输 入 “cd /dev/mouse” 即 可 看 到 鼠标 的 相关 文件 
该 目录 下 存放 的 都 是 系统 启动 时 要 用 到 的 程序 ， 当 用 grub 引导 Linux 时 ， 会 用 到 这 里 的 一 


/sbin 


NV | 此 信息 

Pe 该 目录 存放 了 系统 管理 时 要 用 到 的 各 种 配置 文件 和 子 目 录 ， 如 网 络 配置 文件 、 文 件 系统 、 
义 系统 配置 文件 、 设 各 配置 信息 、 设 置 用 户 信息 等 

| 这 是 系统 只 的 普通 用 户主 目录 和 要 目录。 如 果 建 立 一 个 名 为 “XX” 的 用 户 ， 屠 和 在 


/home 目录 下 就 有 一 个 对 应 的 “/home/X X ”路 径 ， 用 来 存放 该 用 户 的 主 目录 
/inird ”| 使 用 Ramdisk 方式 启动 时 ， 用 于 挂 载 RAM 设备 文件 
/lib 该 目录 用 来 存放 系统 动态 连接 共享 库 ， 几 乎 所 有 的 应 用 程序 都 会 用 到 该 目录 下 的 共享 库 
/lost 十 | 该 目录 在 大 多 数 情况 下 都 是 空 的 。 但 当 突 然 停电 或 者 非 正 常 关 机 后 ， 有 些 文件 被 临时 存放 
found 在 这 里 
/mnt 该 目录 在 一 般 情况 下 也 是 空 的 ， 用 户 可 以 临时 将 其 他 的 文件 系统 挂 在 该 目录 下 
/proc 可 以 在 该 目录 下 获取 系统 信息 ， 这 些 信息 是 在 内 存 中 由 系统 自己 产生 的 
/root 如 果 以 超级 用 户 的 身份 登录 ， 它 就 是 超级 用 户 的 主 目录 
/usr 用 户 的 很 多 应 用 程序 和 文件 都 存放 在 该 目录 下 
/var 存放 一 些 系 统 记录 文件 ， 此 外 ，HTTP 和 FTP 服务 器 的 数据 也 存放 在 这 个 目录 的 子 目 录 中 


/mp 用 来 存放 不 同 程序 执行 时 产生 的 临时 文件 


本 章 习 题 


一 、 填 空 题 


1. Linux 的 内 核 开发 者 是 . 

2. Linux 的 全 称 为 操作 系统 。 

3. Linux 是 一 套 和 的 类 Unix 操作 系统 。 
4. Linux 具有 


5. Linux 在 发 展 中 始终 遵循 的 思想 ， 所 以 才能 不 断 地 壮大 。 
6. Linux 的 内 核 具 有 两 种 不 同 的 版 本 号 ， 即 、 


7. Linux 的 内 核 版 本 是 2.4.6， 它 的 主 版 本 号 是 
8. 内 核 版 本 2.6.15 是 一 个 版 内 核 。 内 核 版 本 2.13.26 是 一 个 版 内 核 。 


LinuX 操作 与 服务 器 配置 实用 教程 


二 、 问 答题 

1. Linux 由 哪 几 部 分 组 成 ? 

2. Linux 有 哪 几 种 文件 类 型 ? 

3. 在 Linux 下 什么 是 用 户主 目录 ? 什么 是 工作 目录 ? 
4. 在 Linux 下 什么 是 绝对 路 径 ? 什么 是 相对 路 径 ? 


I 2 章 
;;。Linux 的 安装 与 磁盘 分 区 


\ 


学 习 目的 与 要 求 : 

本 章 主要 学 习 通 过 多 种 方法 来 安装 Linux， 通 过 使 用 工具 对 磁盘 进行 分 区 ， 对 分 区 进 
行 格式 化 及 挂 载 分 区 等 。 

通过 本 章 的 学 习 ， 要 求 读者 做 到 以 下 几 点 。 

@ ”熟练 使 用 图 形 模式 和 字符 模式 安装 Linux。 

@ 。 热 练 使 用 FTP 网 络 安装 Linux。 

@ 热 练 使 用 Fdisk 工具 对 硬盘 分 区 。 

@ ”熟练 使 用 mkfs 工具 格式 化 分 区 并 学 会 使 用 mount 命令 挂 载 分 区 。 
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2.1 Linux 的 安装 


Linux 操作 系统 能 够 兼容 不 同 的 文件 系统 ， 并 且 能 够 和 其 他 操作 系统 共存 在 同一 个 机 
器 上 ， 因 而 在 系统 安装 中 体现 出 灵活 的 可 定制 过 程 。 初 学 者 可 以 通过 定制 不 同 的 安装 模式 
来 了 解 Linux 系统 的 基本 结构 、 不 同文 件 系统 在 硬盘 上 的 分 布 、 不 同 操作 系统 之 问 配 合 的 
知识 。 

Linux 操作 系统 的 安装 是 学 习 Linux 操作 系统 的 第 一 步 。 初 学 者 要 反复 试验 和 尝试 ， 
才能 了 解 不 同 的 安装 配置 对 最 终 系 统 的 影响 ， 然 后 再 根据 应 用 的 需要 来 选择 合适 的 安装 类 
型 、 硬 盘 分 区 方式 、 最 有 效 的 软件 搭配 ， 从 而 建立 高 效 、 精 简 、 安 全 的 操作 系统 。 

Linux 操作 系统 的 安装 越 来 越 多 地 具有 图 形 化 的 安装 提示 等 人 性 化 特点 ， 使 得 系统 的 
安装 更 加 简单 。 但 相对 来 说 ，Linux 并 没有 像 Windows 那样 完全 自动 安装 ， 而 是 提供 了 更 
多 的 定制 功能 ， 因 而 需要 安装 人 员 对 Linux 有 一 定 了 解 并 有 相应 的 安装 前 的 规划 准备 ， 才 
能 很 好 地 完成 系统 的 安装 任务 。 

Linux 安装 时 有 许多 功能 需要 制定 ， 这 使 得 Linux 变 得 更 加 灵活 。 用 户 可 以 把 Linux 安 
装 后 放 到 一 张 软盘 上 (1MB 左右 )， 也 可 以 把 Linux 安装 成 一 个 上 TG( 字 节 数 ) 的 操作 系统 。 
类 似 于 搭 积木 ， 用 户 可 以 把 Linux 的 一 些 模块 按照 自己 的 需要 有 选择 性 地 一 块 一 块 地 插 进 
去 ， 也 可 以 一 块 一 块 地 拆 下 来 。 

Linux 的 安装 方式 有 CD-ROM 安装 、NFS 安装 、 硬 盘 安 装 、FTP 安装 及 HTTP 安装 等 
安装 方式 ， 用 户 可 以 根据 自己 的 需要 选择 Linux 的 安装 方式 。 下 面 以 光盘 安装 和 网 络 安装 
为 例 进行 讲解 。 


2.1.1 光盘 安装 


光盘 安装 有 两 种 安装 方法 : 一 种 是 在 图 形 模式 下 安装 ; 另 一 种 是 在 字符 模式 下 安装 。 
下 面 分 别 进行 介绍 。 

1. 图 形 模式 下 安装 

要 开始 安装 必须 首先 在 计算 机 的 BIOS 中 设置 光驱 引导 ， 将 引导 光盘 插入 光驱 (一 般 
Linux 的 安装 光盘 都 带 引 导 程 序 ) 后 就 会 出 现 Linux 的 安装 界面 ， 如 图 2-1 所 示 。 

(1) 图 2-1 中 显示 了 两 种 安装 方法 ， 字 符 模式 的 安装 稍 后 作 介绍 ， 首 先 介绍 图 形 界面 
的 安装 方式 ， 直 接 在 图 中 按 Enter 键 即 可 进入 图 形 的 安装 界面 。 

(2) 如 图 2-2 所 示 ， 提 示 是 否 检查 CD 光盘 ， 如 果 检查 ， 单 击 OK 按钮 ， 如 果 不 检查 ， 
单 击 Skip 按钮 。 检 查 CD 光盘 的 时 间 较 长 ， 这 里 按 Tab 键 ， 单 击 Skip 按钮 。 
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图 2-1 Linux 的 安装 界面 2-2 ”检查 光驱 中 的 CD 盘 
(3) 返回 Linux 的 安装 界面 ， 单 击 Next 按钮 进入 下 一 步 ， 如 图 2-3 所 示 。 
(4) 选择 恰当 的 语言 并 单 击 Next 按钮 ， 安 装 程序 会 试图 根据 所 选 的 语言 
时 区 ， 如 图 2-4 所 示 。 
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图 2-3 Linux 的 欢迎 界面 图 2-4 语言 的 选择 
(5) 选择 键盘 布局 类 型 ， 如 图 2-5 所 示 ， 单 击 “ 下 一 步 ” 按 钮 并 输入 安装 序列 号 ， 如 
图 2-6 所 示 。 如 果 没 有 ， 可 以 跳 过 。 或 者 下 载 一 个 序列 号 进行 输入 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 2-5 键盘 设置 图 2-6 输入 安装 序列 号 
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(6) 弹出 “警告 ”消息 框 ， 单 击 “ 是 ”按钮 ， 对 硬盘 进行 分 区 ， 如 图 2-7 所 示 。 
(7) 出 现 如 图 2-8 所 示 的 4 个 选项 。 第 一 次 安装 Linux 的 用 户 建议 使 用 前 3 个 ， 有 过 安 


装 经 验 的 用 户 可 以 使 用 第 4 个 。 
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图 2-7 警告 图 2-8 分 区 


各 选项 说 明 如 下 。 

第 一 种 : 在 选 定 磁盘 上 删除 所 有 分 区 并 创建 默认 分 区 结构 。 删 除 硬盘 的 所 有 分 区 建立 
新 的 分 区 结构 被 Linux 使 用 ， 一 般 在 一 台新 的 磁盘 上 使 用 。 

第 二 种 : 在 选 定 的 驱动 上 删除 Linux。 如 果 磁 盘 装 有 Linux， 选 择 此 项 。 

第 三 种 : 使 用 选 定 驱动 器 中 的 空余 空间 并 创建 默认 的 分 区 结构 。 如 果 使 用 双 系统 ， 而 
且 Windows 和 Linux 共存 ， 选 择 此 项 。 注 意 : 在 安装 双 系统 时 ，Windows 必须 给 Linux 留 
出 足够 的 磁盘 空间 ， 在 Windows 中 的 磁盘 管理 中 要 删除 一 个 分 区 给 Linux 使 用 ， 切 记 是 删 
除 ， 不 是 格式 化 ， 有 的 使 用 者 经 常 在 这 里 出 错 。 

第 四 种 : 建立 自 定 义 的 分 区 结构 。 如 果 安 装 者 对 磁盘 分 区 很 熟悉 ， 可 以 选择 此 项 ， 这 
种 方式 使 得 用 户 可 以 根据 自己 的 需要 自主 地 设置 分 区 。 

在 这 里 选择 第 二 种 ， 单 击 “ 下 一 步 ” 按 钮 。 

(8) 弹出 “警告 ”消息 框 ， 单 击 “ 是 ”按钮 ， 确 定 执行 删除 操作 。 如 图 2-9 所 示 ， 单 
击 “ 下 一 步 ”按钮 后 进行 网 络 的 配置 ， 这 里 直接 单 击 “下 一 步 ” 按 钮 ， 如 图 2-10 所 示 。 
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图 2-9 “警告 ”消息 框 图 2-10 ”网络 配置 
(9) 配置 时 区 和 设置 管理 员 密 码 ， 如 图 2-11 和 图 2-12 所 示 。 


第 2 章 Linux 的 安装 与 磁盘 分 区 i 只 


RED HAT RED HAT 
ENTERPRISE LINUX 5 ENTERPRISE LINUX 5 


ene sms ] [S775] EE Sear] [e738 
图 2-11 时 区 配置 图 2-12 管理 员 密码 设置 


(10) 选择 要 安装 的 Linux 是 什么 类 型 的 服务 器 ， 当 然 也 可 以 选择 “现在 定制 ” 单 选 按 
钮 ， 根 据 用 户 的 需要 自行 安装 所 需要 的 软件 ， 这 里 选择 “现在 定制 ” 单 选 按钮 安装 所 需要 的 
软件 ， 如 图 2-13 所 示 。 当 然 如 果 是 第 一 次 安装 可 以 直接 单 击 “ 下 一 步 ”按钮 让 系统 默认 安装 。 

(11) 这 里 安装 一 个 简单 的 操作 系统 ， 不 安装 桌面 程序 ， 单 击 “ 下 一 步 ”按钮 ， 如 图 2-14 
所 示 。 
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2-13 ”选择 “现在 定制 ” 单 选 按钮 图 2-14 安装 需要 的 软件 


(12) 系统 自动 解决 用 户 所 安装 软件 包 的 依赖 关系 ， 如 图 2-15 所 示 。 
(13) 接着 弹出 一 个 安装 前 的 提示 ， 如 图 2-16 所 示 ， 直 接 单 击 “ 下 一 步 ”按钮 开始 安 
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图 2-15 自动 解决 包 依赖 关系 图 2-16 安装 前 的 提示 
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(14) 安装 程序 开始 格式 化 安装 的 Linux 操作 系统 ， 如 图 2-17 所 示 。 安 装 完成 后 的 界面 
如 图 2-18 所 示 。 
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图 2-17 格式 化 系统 图 2-18 安装 完成 界面 


(15) 安装 完 后 重启 Linux 会 进入 管理 界面 ， 如 图 2-19 所 示 。 在 该 界面 按 向 下 方向 键 会 
进入 GRUB 管理 界面 ， 如 图 2-20 所 示 。 
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图 2-19 Linux 的 管理 界面 图 2-20 GRUP 界面 


GRUB 是 一 个 多 重 引 导 加 载 程 序 ， 是 Grand Unified Bootloader 的 缩写 。 它 可 以 在 多 个 
操作 系统 共存 时 选择 引导 哪个 系统 ， 可 以 引导 的 操作 系统 有 Linux Windows 95/98/NT/2000 
/XP、FreeBSD Solaris NetBSD 等 。 可 以 按 E 键 在 启动 之 前 编辑 命令 ， 按 A 键 在 系统 启动 
之 前 修改 内 核 参数 ， 按 C 键 获得 一 个 命令 行 。 

GRUB 具有 以 下 特点 。 

支持 硬盘 : GRUB 可 以 引导 主 分 区 在 8GB 以 上 的 操作 系统 。 

支持 开机 画面 : GRUP 支持 引导 开机 的 同时 显示 一 个 画面 。 可 以 制作 自己 的 个 性 开机 
画面 。GRUB 支持 640x480、800x600、1024x768 各 种 模式 的 开机 画面 。 

两 种 执行 模式 : GRUB 不 但 可 以 通过 配置 文件 进行 列 行 的 引导 ， 在 选择 引导 前 动态 地 
改变 引导 时 的 参数 ， 还 可 以 动态 地 加 载 各 种 设备 。 例 如 ， 用 户 编 译 了 一 个 新 的 内 核 ， 但 是 
不 确定 它 是 否 可 以 工作 ， 可 以 在 引导 时 动态 地 改变 GRUB 的 参数 ， 尝 试 装载 这 个 新 的 内 核 
进行 使 用 。 
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除 此 之 外 ，GRUB 还 有 非常 大 的 功能 ， 如 支持 多 种 外 部 设备 ， 动 态 装载 操作 系统 内 
核 ， 甚 至 可 以 通过 网 络 装载 操作 系统 内 核 。 它 还 支持 多 种 可 执行 文件 、 多 文件 系统 ， 支 持 
自动 压缩 ， 可 以 引导 不 支持 多 重 引导 的 操作 系统 。 

2. 字符 模式 下 安装 
闻 符 模式 下 安装 的 好 处 是 简单 、 方 便 ， 安 装 速度 比 界面 安装 要 快 。 下 面 为 大 家 介绍 字 
符 模 式 下 安装 的 步骤 。 

(1) 进入 Linux 的 安装 界面 ， 如 图 2-21 所 示 ， 在 boot 后 面 输入 “linux text”， 按 Enter 
键 进入 字符 界面 ， 接 下 来 会 提示 是 否 检测 光盘 ( 见 图 2-2)， 单 击 Skip 按钮 ， 进 入 Linux 安 
装 的 欢迎 界面 ， 如 图 2-22 所 示 。 
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图 2-21 系统 安装 界面 图 2-22 ”欢迎 界面 
(2) 进入 语言 选择 项 ， 选 择 Chinese(Simplified) 选 项 ， 即 简体 中 文 ， 单 击 OK 按钮 ， 如 
图 2-23 所 示 。 
(3) 接 下 来 会 提示 中 文 模式 在 字符 安装 下 不 能 使 用 ， 仍 然 使 用 英文 模式 ， 如 图 2-24 所 
示 ， 单 击 OK 按钮 进入 下 一 个 界面 。 


What language vould vou Like to wse 
uring the insta1latiow process? 


2-23 ”选择 语言 图 2-24 字符 模式 下 无 法 使 用 中 文 


(4) 系统 将 检测 键盘 ， 按 照 默 认 选择 ， 如 图 2-25 所 示 。 接 着 如 图 2-26 所 示 要 求 输入 安 
装 序列 号 ， 这 里 跳 过 此 步骤 。 
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图 2-25 键盘 布局 图 2-26 安装 序列 号 


(5) 弹出 提示 信息 ， 如 果 序 列 号 丢失 可 以 登录 以 下 网 址 ， 如 图 2-27 所 示 ， 单 击 Skip 按钮 。 
(6) 接 下 来 选择 格式 化 硬盘 选项 ， 如 图 2-28 所 示 ， 按 照 默认 删除 所 有 Linux 分 区 ， 单 


/ 站 


击 OK 按钮 。 
图 2-27 ”提示 信息 图 2-28 删除 分 区 
(7) 接着 系统 警告 删除 分 区 将 会 丢失 所 有 数据 ， 单 击 Yes 按钮 确认 ， 如 图 2-29 和 
图 2-30 所 示 。 
图 2-29 警告 (一 ) 图 2-30 警告 (二 ) 


(8) 系统 分 区 情况 如 图 2-31 所 示 ， 系 统 使 用 GRUB 引导 系统 ， 如 图 2-32 所 示 。 关 于 
启动 时 内 核对 硬盘 支持 的 可 以 留 空 不 填 ， 如 图 2-33 所 示 。 第 二 个 Force use of LBA 32 模式 
一 般 可 以 不 选择 ， 按 照 默认 单 击 OK 按钮 。 

(9) 为 GRUB 设置 密码 ， 如 图 2-34 所 示 ， 这 里 按 默认 单 击 OK 按钮 。 

(10) 进入 图 2-35 所 示 的 界面 ， 提 示 用 户 Linux 服务 器 可 以 启动 多 个 操作 系统 ， 单 击 
OK 按钮 。 进 入 图 2-36 所 示 的 界面 ， 提 示 主 引导 分 区 MBR 在 sda 硬盘 上 ， 按 照 默 认 单 击 
OK 按钮 。 

(11) 进行 网 卡 配置 选项 ， 单 击 Yes 按钮 ， 如 图 2-37 所 示 ， 然 后 选择 激活 Enable IPv4 
support 和 Enable IPv6 support 选项 ， 单 击 OK 按钮 ， 如 图 2-38 所 示 。 
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2-31 分 区 情况 图 2-32 使 用 GRUP 引导 系统 
图 2-33 ”内 核对 硬盘 的 支持 图 2-34 设置 GRUP 密码 
图 2-35 可 以 启动 多 个 系统 图 2-36 MBR 所 在 硬盘 
图 2-37 配置 网 卡 eth0 图 2-38 激活 IPv4 和 IPv6 
(12) 如 图 2-39 所 示 ， 选 择 DHCP 自动 获取 还 是 输入 IP 地 址 ， 这 里 选择 默认 选项 ， 单 
击 OK 按钮 。 


(13) 接 下 来 设置 主机 名 ， 按 照 默认 选项 ， 单 击 OK 按钮 ， 如 图 2-40 所 示 。 


2-39 配置 IP 地 址 2-40 主机 名 
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(14) 设置 系统 时 区 ， 如 图 2-41 所 示 。 选 择 Asia/Shanghai 选项 ， 然 后 设置 登录 密码 ， 
如 图 2-42 所 示 。 


图 2-41 配置 时 区 图 2-42 设置 管理 员 密码 
(15) 保存 以 上 步 又 的 配置 ， 如 图 2-43 所 示 。 


图 2-43 ”保存 以 上 步骤 的 配置 
(16) 选择 系统 的 模式 ， 是 软件 开发 形式 、Web 形式 ， 还 是 自 定 义 ， 这 里 选择 Web 
server 选项 ， 如 图 2-44 所 示 。 
(17) 系统 开始 安装 Linux 系统 ， 如 图 2-45 所 示 。 


图 2-44 选择 系统 的 模式 图 2-45 系统 安装 


系统 安装 完成 后 ， 重 新 启动 计算 机 ， 将 进入 GRUB 启动 引导 菜单 ， 使 用 上 下 移动 键 选 
择 启动 的 Linux 系统 ， 按 Enter 键 后 引导 程序 ， 将 会 装 入 Linux 内 核 并 启动 它 。 然 后 ， 系 
统 进 入 一 系列 的 自 检 和 初始 化 系统 后 处 于 登录 状态 ， 接 着 会 要 求 输入 用 户 名 和 密码 ， 输 入 
完 合法 的 用 户 名 和 密码 后 ， 系 统 会 启动 Windows 窗口 。 这 时 就 可 以 看 到 一 个 和 自己 熟悉 的 
Windows 风格 不 同 的 界面 ， 我 们 会 在 后 面 学 习 和 了 解 这 个 操作 系统 。 


还 注意 :， 字符 模式 下 安装 重新 启动 计算 机 后 系统 会 自动 进入 字符 模式 。 
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2.1.2 ”网络 安装 


网 络 安装 Linux 系统 的 方法 有 FTP 安装 方法 和 PXE 网 络 无 人 值守 安装 方法 。 本 书 只 
介绍 FTP 安装 方法 ，PXE 方法 如 有 需要 ， 读 者 可 自行 查询 相关 资料 。 

下 面 介 绍 如 何 使 用 FTP 网 络 安装 方式 安装 Linux 系统 ， 在 安装 之 前 ， 先 在 另外 一 台 计 
算 机 里 架设 一 个 FTP 服务 器 (FTP 服务 器 不 是 本 章 的 内 容 ， 在 第 9 章 有 详细 的 介绍 )， 然 后 
将 光盘 的 所 有 内 容 复制 到 FTP 的 根 目 录 /var/ftp/pub， 将 pub 目录 的 权限 放 到 最 大 (权限 的 设 
置 在 后 面 有 详细 的 介绍 )。 

下 5 最 务 汪 全 站 二 全 仙 (所 有 外 旺 设 将 台 清 本 本 二 到 月 县 发 能 太 同 和 挂 载 光 盘 的 
命令 是 mount /dev/cdrom /mnt， 意 思 是 将 光盘 挂 载 到 mnt 目录 ; 进入 光盘 目录 cd/mnt/ 
Server; 安装 FTP 服务 器 i vsftpd-2.0.5$-12.e15.i386.Ipm; 启动 FTP 服务 器 service 
vsftpd start; 复制 光盘 内 容 cp/mnt/* /var/ftp/pub(“*” 代 表 所 有 内 容 ); 复制 pub 目录 最 大 权 
限 chmod-R777/var/ftp/pub。 

在 每 台 计 算 机 上 使 用 光盘 启动 ， 输 入 linux askmethod 启动 网 络 安装 ， 如 图 2-46 
所 示 。 

接 下 来 和 字符 模式 下 安装 一 样 选择 安装 语言 和 键盘 ， 只 是 在 选择 安装 方式 的 时 候选 择 
FTP 选项 ， 如 图 2-47 所 示 。 
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图 2-46 启动 网 络 安装 图 2-47 选择 FTP 安装 


单 击 OK 按钮 ， 然 后 按 默认 配置 ， 在 选择 FTP 服务 器 地 址 和 目录 的 时 候 指定 FTP 地 址 
和 主 目录 ， 如 图 2-48 所 示 。 然 后 就 进入 图 形 的 安装 界面 ， 按 照 上 面 的 图 形 模式 安装 即 可 。 


Plesse enter the following informtion: 


2 rete er et serve ose EN 
Ned Hat Enterprise Linax Server 
your architectare 


Th slte pame: 


Ned Hot Ester else Linex Server directory: 


图 2-48 指定 FTP 服务 器 地 址 及 主 目录 
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22 磁盘 分 区 


分 区 是 指 在 硬盘 的 自由 空间 上 将 一 块 物理 硬盘 分 成 多 个 能 被 格式 化 的 逻辑 单元 的 一 种 
操作 。 对 硬盘 进行 分 区 的 目的 主要 有 3 个 : 初始 化 硬盘 ， 以 便 可 以 格式 化 和 存储 数据 ， 用 
来 分 隔 不 同 的 操作 系统 ， 以 保证 多 个 操作 系统 在 同一 个 硬盘 上 正常 运行 ， 便 于 管理 ， 可 以 
有 针对 性 地 对 数据 进行 分 类 储藏 ， 另 外 也 可 以 更 好 地 利用 磁盘 空间 。 


2.2.1 分 区 的 类 型 


磁盘 可 以 划分 为 两 种 类 型 的 分 区 : 主 分 区 和 扩展 分 区 。 

1. 主 分 区 

主 分 区 (Primary Partition) 是 指 物理 磁盘 可 以 标记 为 激活 ， 系 统 可 以 用 来 启动 计算 机 的 
磁盘 分 区 。 在 Linux 系统 中 ， 每 个 物理 磁盘 最 多 可 以 有 4 个 主 分 区 ， 多 个 主 分 区 共存 的 主 
要 目的 是 分 隔 不 同 的 操作 系统 ， 其 次 是 用 于 存放 不 同类 型 的 数据 ， 主 分 区 是 不 能 够 再 划分 
分 区 的 。 

2. 扩展 分 区 


扩展 分 区 (Extended Partition) 就 是 为 了 突破 一 个 磁盘 上 只 能 建立 4 个 分 区 的 限制 而 引入 
的 。 通 过 扩展 分 区 ， 可 以 将 硬盘 划分 为 多 于 4 个 的 逻辑 分 区 。 

扩展 分 区 也 必须 建立 在 自由 空间 上 ， 一 个 硬盘 上 只 能 有 一 个 扩展 分 区 ， 因 此 在 对 磁盘 
进行 分 区 时 ， 应 该 把 主 分 区 以 外 的 自由 空间 分 配 多 个 扩展 分 区 ， 然 后 再 在 扩展 分 区 上 建立 
逻辑 分 区 。 多 个 逻辑 分 区 的 好 处 是 可 以 把 应 用 程序 和 数据 文件 分 别 存放 在 不 同 的 逻辑 分 区 
上 ， 以 便于 检索 和 备份 。 

3. Linux 分 区 的 表示 


Linux 内 核 设备 管理 规定 ， 计 算 机 的 硬件 设备 都 以 文件 的 方式 进行 管理 ， 所 有 的 设备 
都 映射 到 /dev 目录 中 相应 的 文件 ， 因 而 磁盘 分 区 也 由 该 目录 下 的 相应 文件 代替 ， 文 件 名 使 
用 字符 和 数字 组 合 ， 格 式 如 下 。 


/dev/xxyn 


其 中 ，/dev/ 是 所 有 设备 文件 所 在 的 目录 ， 因 为 分 区 在 硬盘 上 ， 而 硬盘 是 设备 ， 所 以 这 些 文 
件 代 表 了 在 /dev/ 上 所 有 可 能 的 分 区 。“xx” 为 分 区 名 的 前 两 个 字母 ， 表 明 分 区 所 在 设备 的 
类 型 ， 通 常 是 hd(IDE 磁盘 ) 和 sd(SCSI 硬盘 ); “y” 代 表 分 区 所 在 的 设备 ， 例 如 
/dev/hda( 第 一 个 IDE 磁盘 ) 或 /dev/sdb( 第 二 个 SCSI 磁盘 ); “n” 是 数字 代表 分 区 ， 前 4 个 
分 区 ( 主 分 区 或 扩展 分 区 ) 分 别 用 1 一 4 表示， 逻辑 分 区 从 5 开始 ， 例 如 ，/dev/hda3 是 在 第 一 
个 IDE 硬盘 上 的 第 三 个 主 分 区 ，/dev/sdb5 是 在 第 二 个 SCSI 硬盘 上 的 第 一 个 逻辑 分 区 。 


[x 
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4. Linux 磁盘 分 区 挂 载 

在 划分 好 分 区 后 ， 首 先 了 解 一 下 操作 系统 如 何 使 用 及 访问 各 个 分 区 ， 这 在 DOS 和 
Windows 中 相对 来 说 较为 简单 ， 每 一 个 分 区 有 一 个 “驱动 器 字符 ”， 通 过 使 用 适当 的 驱动 
器 字符 就 可 以 访问 相应 的 分 区 上 的 文件 和 目录 ， 而 Linux 分 区 是 作为 一 个 设备 文件 被 系统 
管理 的 ， 对 其 内 容 的 访问 必须 通过 挂 载 设备 来 完成 ， 用 到 命令 mount， 也 就 是 将 分 区 连接 
到 某 一 个 目录 ， 是 通过 访问 挂 载 后 的 目录 来 访问 分 区 的 。 

创建 “多 少 个 分 区 ”在 Linux 中 一 直 是 人 们 讨论 的 话题 。 一 般 情况 下 ， 至 少 应 创建 以 
下 几 个 分 区 : swap， 交 换 分 区 ; /boot， 启 动 分 区 ; /， 根 分 区 。 


小 知识 : 交换 分 区 的 作用 

程序 在 运行 的 时 候 ， 必 须 把 自己 的 代码 和 需要 的 其 他 资源 调 入 内 存 中 。 运 行 的 程序 越 
大 ， 需 要 的 内 存 也 就 越 多 ， 一 旦 程序 需要 的 内 存 超过 了 实际 内 存 的 大 小 ， 就 会 出 现 程序 无 
法 运行 的 错误 ， 因 此 大 部 分 操作 系统 都 会 使 用 虚拟 内 存 来 解决 这 个 问题 。 当 系统 的 实际 内 
存 不 够 时 ， 可 以 把 内 存 中 的 数据 先 放 到 硬盘 上 ， 在 真正 需要 调用 的 时 候 再 调用 ， 这 样 可 以 
扩展 程序 运行 的 空间 ， 以 避免 出 现 程序 无 法 运行 的 情况 ， 同 时 可 以 运行 更 多 、 更 大 的 程 
序 。 在 Linux 中 就 是 使 用 交换 分 区 来 实现 虚拟 内 存 的 ， 简 单 地 说 ， 交 换 分 区 就 是 系统 物理 
内 存 的 扩展 。 

在 Linux 中 ， 查 看 内 存 使 用 情况 最 常用 的 命令 有 free、top、vmstat 等 。 例 如 ， 我 们 使 
用 free 命令 查看 现在 内 存 的 使 用 情况 ， 如 图 2-49 所 示 。 


图 2-49 内 存 使 用 情况 


从 图 2-49 可 以 看 到 整个 内 存 (total)) 有 271660B， 使 用 了 (used)192364B， 剩 余 (free)79296B， 
整个 交换 分 区 有 557048B， 但 是 并 没有 使 用 ，shared 代表 了 当前 共享 内 存 的 大 小 。buffers 和 
cached 显示 了 内 核 缓存 的 大 小 。 


2.2.2 Linux 硬盘 分 区 与 格式 化 步骤 


1. 分 区 格式 化 的 原理 

一 个 没有 分 区 的 硬盘 好 像 一 张 白 纸 一 样 什么 都 没有 ， 分 好 区 的 硬盘 上 是 有 一 定 结构 性 
的 。 图 2-50 所 示 为 一 个 分 好 区 的 硬盘 。 

分 区 就 是 将 硬盘 分 成 不 同 的 区 域 便于 我 们 使 用 和 管理 ， 每 个 区 域 有 不 同 的 用 途 。 不 管 
硬盘 分 多 少 个 区 ， 在 硬盘 的 前 面 都 有 一 个 引导 扇 区 。 这 个 扇 区 由 两 部 分 组 成 ， 一 部 分 是 
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MBR( 主 引导 扇 区 或 主 引 导 记 录 )， 图 2-50 中 主 引 导 扇 区 大 小 为 446B， 存 放 操 作 系统 的 引 
导 代 码 ， 在 引导 扇 区 的 后 面 64B 是 主 分 区 表 ， 红 色 部 分 存放 分 区 的 个 数 及 各 个 分 区 的 起 始 
位 置 ， 但 是 我 们 看 到 这 个 分 区 表 大 小 只 有 64B， 所 以 在 Linux 下 ， 分 区 工具 最 多 只 能 分 4 
就 是 每 个 分 区 的 记录 大 小 为 16B。 例 如 ， 图 2-50 中 我 们 把 这 个 硬盘 分 为 三 个 区 ， 


1 » 

在 主 分 区 表 中 记录 这 三 个 分 区 的 起 始 位 置 。 三 个 分 区 hdal、hda2、hda3 的 分 区 信息 是 写 入 
E 分 区 表 中 的 ， 所 以 这 三 个 分 区 称 为 主 分 区 。 如 果 想 使 用 5 个 以 上 的 分 区 就 需要 使 用 扩展 
区 来 实现 ， 如 图 2-51 所 示 。 


入 hb 
他 出 


S /dev/hda6 /dev/hda7| 


图 2-50 ”硬盘 原理 图 图 2-51 分 区 原理 图 


图 2-52 是 一 个 拥有 扩展 分 区 硬盘 的 结构 图 ， 我 们 把 硬盘 分 为 三 个 主 分 区 hdal 、 
hda2、hda3， 后 面 的 hda4 分 为 一 个 扩展 分 区 ， 在 主 分 区 表 中 还 是 4 个 分 区 。 要 使 用 5 个 以 
上 的 分 区 就 是 在 第 四 个 分 区 中 再 建 一 张 分 区 表 ， 然 后 划分 更 小 的 区 域 ， 如 图 2-52 所 示 在 第 
四 个 分 区 中 建立 的 分 区 表 称 为 扩展 分 区 表 ， 扩 展 分 区 表 理 论 上 支持 无 限 个 分 区 ， 在 扩展 分 
区 表 中 的 称 为 逻辑 分 区 ， 图 2-52 中 的 hda5、hda6、hda7 就 是 逻辑 分 区 ， 逻 辑 分 区 的 起 始 
位 置 和 分 区 的 类 型 都 写 在 扩展 分 区 表 中 ， 通 过 这 样 的 扩展 技术 就 可 以 把 硬盘 分 成 5 个 以 上 
的 分 区 。 


2 /dev/hda3 /dev/hda4 


图 2-52 格式 化 好 的 分 区 原理 
图 2-52 是 一 个 格式 化 好 的 原理 图 ， 刚 分 好 的 分 区 里 面 没有 任何 数据 ， 而 且 操作 系统 也 
不 能 识别 和 读 写 。 为 了 让 操作 系统 的 内 核能 识别 这 个 分 区 ， 必 须要 向 这 个 分 区 写 入 一 定格 
式 的 数据 ， 这 个 过 程 就 称 为 格式 化 ， 在 Linux 下 面 称 为 创建 文件 系统 。 
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在 图 2-52 中 ， 把 hdal 、hdas 分 区 格式 化 成 一 个 FAT32 格式 的 ， 这 是 Windows 格式 
的 分 区 ， 把 hda2、hda3、hda6、hda7 格式 化 成 Ext2 格式 的 ， 这 是 Linux 操作 系统 的 分 区 
格式 。 如 果 在 该 块 硬盘 上 安装 了 Windows 操作 系统 ， 那 么 hdal 和 hda5 会 被 系统 认为 是 C 
盘 和 D 盘 。Ext2 的 分 区 格式 是 不 能 被 Windows 识别 的 ， 只 能 安装 Linux 操作 系统 ， 而 
Linux 只 能 安装 到 Ext2 和 Ext3 文件 系统 上 ， 不 能 安装 在 FAT32 文件 系统 上 。 

如 果 用 户 要 在 一 块 硬盘 上 安装 Windows 和 Linux 操作 系统 ， 就 要 为 不 同 的 操作 系统 创 
建 不 同 的 分 区 ， 并 且 格 式 化 成 不 同 格式 的 文件 系统 。 图 2-53 正 是 一 个 同时 使 用 Windows 
和 Linux 操作 系统 的 硬盘 。 


图 2-53 ”操作 系统 的 硬盘 及 分 区 情况 

没有 格式 化 的 分 区 是 不 能 直接 使 用 的 ， 没 有 分 区 的 硬盘 是 不 能 格式 化 的 ， 通 常 分 区 和 
格式 化 是 在 一 起 的 ， 在 使 用 的 时 候 也 要 一 起 用 。 

2. 使 用 命令 fdisk 为 硬盘 分 区 

fdisk 是 一 个 命令 行 工具 ， 在 Linux 的 各 个 版 本 和 环境 中 都 能 使 用 ， 包 含 在 软件 包 util-linux 
中 ， 该 工具 是 被 系统 默认 安装 的 。 

fdisk 的 使 用 过 程 一 般 分 为 以 下 3 部 分 (fdisk 命令 必须 使 用 管理 员 身 份 来 运行 )。 

@ ”运行 命令 :fdisk 设备 名 (该 设备 必须 是 一 个 硬盘 ) 可 以 为 fdisk/dev/sdb。 

@ ”添加 /删除 /修改 分 区 。 

@ 重新 启动 计算 机 。 

下 面 举例 说 明 fdisk 的 使 用 过 程 。 

(1) 使 用 fdisk-l 查看 目前 操作 系统 的 硬盘 及 分 区 情况 ， 如 图 2-53 所 示 。 

通过 图 2-53 可 以 看 到 系统 中 有 4 块 硬盘 为 SCSI 硬盘 ， 第 一 块 硬盘 sda 大 小 为 21.4GB， 其 
余 3 个 硬盘 分 别 为 8589MB， 并 且 这 3 个 硬盘 stb、sdc、sdd 是 空 的 。 接 下 来 以 sdb 硬盘 为 例 向 
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大 家 介绍 。 
C) 为 了 给 sdb 硬盘 分 区 ， 必 须 用 fdisk 打开 它 ， 使 用 命令 fdisk/dev/sdb， 如 图 2-54 所 
示 ， 可 以 看 到 屏幕 上 提示 输入 m 命令 获得 帮助 ， 如 图 2-55 所 示 。 


图 2-54 ”操作 系统 为 用 户 提示 信息 获得 帮助 图 2-55 ”为 用 户 提供 各 个 字母 的 作用 


由 图 2-55 可 以 看 到 fdisk 中 的 各 个 命令 ， 这 里 只 介绍 在 操作 中 常用 的 几 个 命令 ， 对 于 
其 他 命令 就 不 再 作 解 释 ， 一 般 也 用 不 到 。 

a: toggle a bootable flag( 设 置 引 导 扇 区 )。 

d: delete a partition( 删 除 一 个 分 区 )。 

1: list known partition types( 列 出 已 知 分 区 类 型 ) 

m: print this menu( 列 出 功能 菜单 )。 

n: add a new partition( 增 加 新 的 分 区 )。 

p: print the partition table( 列 出 现 有 的 分 区 表 )。 

q: quit without saving changes( 不 储存 离开 )。 

t: change a partition’s system id( 改 变 分 区 的 类 型 编号 ， 不 同 的 操作 系统 有 不 同 的 分 区 
编号 )。 

u: change display/entry units( 切 换 显 示 的 单位 ， 只 有 cylinder/sector 两 种 )。 

WwW: Write table to disk and exit( 将 设置 结果 写 入 并 退出 )。 

x: extra functionality (experts only)( 一 些 更 深入 的 功能 ， 专 家 菜单 )。 

(3) 输入 p 命令 查看 操作 系统 的 分 区 情况 ， 如 图 2-56 所 示 。 


2-56 ”操作 系统 分 区 情况 


但 是 显示 了 这 块 硬盘 的 一 些 信息 。 例 


图 2-56 显示 的 是 一 个 空 的 硬盘 ， 没 有 任何 分 区 
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如 ， 该 硬盘 有 1044 个 柱 面 (1044 Cylinders)， 有 约 8GB 的 内 容 (8589 MB)。 
(4) 使 用 nm 命令 为 这 个 硬盘 分 区 建立 一 个 分 区 ， 如 图 2-57 所 示 ， 提 示 输 入 p 命令 建立 主 


分 区 还 是 输入 e 命令 建立 扩展 分 区 ， 此 处 先 输入 命令 p 建立 一 个 主 分 区 ， 如 图 2-58 所 示 。 


图 2-57 使 用 n 命令 建立 一 个 分 | 


冈 


图 2-58 建立 主 分 区 
(5) 进入 图 2-59 所 示 的 界面 ， 提 示 用 户 输入 需要 建立 的 主 分 区 的 编号 ， 这 里 建立 的 是 
第 一 个 主 分 区 ， 所 以 输入 1， 如 图 2-60 所 示 ， 然 后 输入 第 一 个 主 分 区 的 起 始 柱 面 的 位 置 ， 
默认 为 1， 按 Enter 键 进入 图 2-61 所 示 的 界面 ， 设 置 分 区 大 小 。 


图 2-59 设置 主 分 区 编号 


图 2-60 设置 分 区 大 小 
(6) 进入 图 2-62 所 示 的 界面 ， 提 示 输 入 这 个 分 区 的 最 后 一 个 柱 面 ， 可 以 看 到 整个 硬盘 
有 1044 个 柱 面 ， 如 果 使 用 默认 值 ， 那 么 就 是 把 这 个 硬盘 分 给 了 一 个 区 ， 所 以 需要 手动 输 
入 第 一 个 分 区 的 最 后 柱 面 ， 可 以 看 到 提示 既 可 以 输入 柱 面 的 数值 ， 也 可 以 输入 分 区 大 小 ， 
此 处 输入 30 个 柱 面 ， 如 图 2-62 所 示 。 


和 
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2-61 设置 分 区 为 30MB 


图 2-62 查看 是 否 分 区 成 功 
(7) 图 2-60 中 输入 的 是 30， 也 就 是 在 第 30 个 柱 面 输入 p 命令 进行 查看 ， 可 以 看 到 第 
-个 硬盘 第 一 个 分 区 sdbl 的 起 始 柱 面 为 1、 最 后 柱 面 为 30， 大 小 为 250MB 左右 ， 分 区 编 
号 为 33， 系统 为 Linux 系统 ， 如 图 2-62 所 示 。 
有 时 候 我 们 也 可 以 在 分 区 的 时 候 使 用 分 区 大 小 指定 分 区 ， 不 使 用 块 指定 分 区 ， 例 如 
图 2-63 所 示 ， 使 用 +sizeM 命令 设置 分 区 大 小 为 2048MB。 


图 2-63 设置 分 区 大 于 2048MB 
(8) 在 图 2-63 中 ， 建 立 第 二 个 分 区 ， 起 始 柱 面 为 31， 分 区 大 小 为 2GB， 再 使 用 p 命 
令 查看 新 分 区 ， 如 图 2-64 所 示 ， 可 以 看 到 建立 了 两 个 主 分 区 ， 并 设置 了 分 区 大 小 及 起 
台 柱 面 的 大 小 。 接 下 来 使 用 剩余 的 空间 建立 扩展 分 区 ， 并 在 扩展 分 区 上 建立 逻辑 分 区 。 


图 2-64 查看 新 的 分 区 
(9) 首先 输入 n 命令 ， 建 立 一 个 分 区 ， 然 后 输入 e 命令 建立 一 个 扩展 分 区 ， 输 入 分 区 
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编号 ， 因 为 1 和 2 都 被 占用 了 ， 这 里 输入 3， 再 输入 起 始 柱 面 ， 按 默认 输入 ， 结 束 柱 面 也 
按 默认 ， 这 样 就 把 剩余 的 空间 全 部 划分 给 扩展 分 区 ， 输 入 p 命令 查看 ， 发 现 sdbl1、sdb2 为 
主 分 区 ，sdb3 为 扩展 分 区 ， 如 图 2-65 所 示 。 熟 悉 Windows 的 朋友 知道 扩展 分 区 是 不 能 直 
接 使 用 的 ， 所 以 我 们 还 要 在 扩展 分 区 上 建立 逻辑 分 区 。 


图 2-65 建立 扩展 分 区 


(10) 如 图 2-66 所 示 ， 输 入 1 建立 逻辑 分 区 ， 提 示 逻 辑 分 区 的 编号 只 能 是 从 5 开始 ， 然 


后 输入 柱 面 的 起 始 位 置 和 结束 位 置 ， 建 立 完成 后 输入 p 命令 查看 ， 如 图 2-67 所 示 。 


图 2-66 建立 逻辑 分 区 图 2-67 查看 是 否 成 功 建立 逻辑 分 区 

(11) 建立 了 两 个 主 分 区 和 两 个 逻辑 分 区 后 ， 可 以 使 用 t 命令 更 改 分 区 的 类 型 。 现 在 把 
sdb 更 改 成 Windows 分 区 ， 如 图 2-68 所 示 ， 然 后 系统 提示 选择 要 更 改 的 分 区 编号 ， 输 入 
5， 更 改 sdb5 的 分 区 编号 后 按 Enter 键 ， 输 入 5 后 ， 我 们 不 知道 分 区 编号 ， 提 示 输 入 工 查 
看 所 能 更 改 的 分 区 类 型 的 编号 ， 如 图 2-69 所 示 。 

(12) 找到 Windows 的 分 区 编号 ， 选 择 FAT32 的 编号 为 c， 输 入 e 命令 并 按 Enter 键 ， 
如 图 2-70 所 示 。 

(13) 在 图 2-70 中 可 以 看 到 sdb5 的 分 区 类 型 已 经 改变 成 Windows 格式 的 类 型 ， 至 此 分 
区 已 经 完成 ， 输 入 w 命令 即 可 保存 退出 ， 如 图 2-71 所 示 。 
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图 2-68 ”修改 分 区 的 标签 图 2-69 显示 各 个 标签 的 名 称 


图 2-70 ”修改 标签 图 2-71 保存 修改 之 后 的 标签 


3. 用 mkfs 格式 化 工具 创建 文件 系统 


Linux 下 的 格式 化 工具 mkfs 支持 Ext2、Ext3、VFAT、MS-DOS、JFS、ReiserFS 等 文 
件 系 统 。 其 中 ，Ext2、Ext3 为 Linux 的 文件 系统 ，VFAT 为 Windows 的 文件 系统 ，MS- 
DOS 为 DOS 文件 系统 ，JFES、ReiserFS 为 日 志文 件 系 统 ， 不 经 常用 。 

mkfs 的 用 法 1: mkfs -t <fstype> <partition>， 即 mkfs -t+ 文件 系统 类 型 + 参数 。 

例如 : 

mkfs -t ext3 /dev/sdb2 

这 句 命令 的 意思 就 是 在 sdb2 的 分 区 上 建立 Ext3 的 文件 系统 ， 也 就 是 把 sdb2 格式 化 成 
Ext3 的 类 型 。 

mkfs 的 用 法 2: mkfs.<fstype> <partition>。 

例如 : 

mkfs.ext3 /dev/sdb2 

如 图 2-72 所 示 框 内 是 sdd 硬盘 。 在 该 硬盘 上 已 经 分 好 区 ， 有 Linux 的 分 区 ， 还 有 


Windows 的 FAT32 分 区 。 
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图 2-72 sdd 硬盘 


图 2-73 为 已 经 对 sddl 格式 化 ， 如 果 要 格式 化 sdd5， 需 要 更 改 参 数 ， 改 成 Windows 的 
文件 格式 ， 命 令 如 下 。 


mkfs.vfat /dev/sdd5 


图 2-73 把 sdd1 格式 化 成 Ext3 文件 类 型 
如 果 用 户 忘 记 mkfs 后 面 应 该 跟随 什么 文件 格式 ， 可 以 输入 mkfs 命令 。 按 两 次 Tab 键 
就 会 有 提示 ， 如 图 2-74 所 示 。 


2-74 显示 以 mkfs 开头 的 有 关 命令 


将 


注意 : 对 于 图 2-72 中 的 sdd4 swap 分 区 是 不 能 被 格式 化 和 挂 载 的 ， 只 能 被 内 核 认 识 ， 
用 来 存放 内 存 的 临时 文件 ， 所 以 swap 也 不 能 称 为 真正 的 分 区 ， 这 种 类 型 的 分 区 不 能 使 用 
mkfs 格式 化 ， 要 使 用 mkswap 来 初始 化 ， 如 图 2-75 所 示 。 


图 2-75 初始 化 文件 系统 的 交换 分 区 
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4. 硬盘 分 区 的 挂 载 

对 于 一 个 已 经 格式 化 好 的 分 区 ， 可 以 挂 载 使 用 ， 挂 载 命 令 为 mount( 这 里 只 是 简单 介 
绍 ，mount 命令 在 第 4 章 有 详细 的 说 明 )。 

例如 : 

mount /dev/sddl /mnt 

这 名 命令 表 示 将 sddl 分 区 挂 载 到 mnt 目录 下 ， 然 后 就 可 以 对 其 分 区 进行 操作 了 ， 如 
图 2-76 所 示 。 


图 276 挂 载 分 区 
本 章 习 题 


一 、 填 空 题 

1. Linux 默认 的 文件 系统 是 

2.Linux 有 4 基本 的 文件 类 型 ， 即 
3.Linux 采用 文件 结构 。 
4.Linux 的 安装 方式 有 
5 
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5. 如 果 字 符 安装 Linux 输入 命令 就 会 进入 字符 安装 界面 。 
. 安装 Linux 系统 时 一 般 情 况 下 给 Linux 分 为 三 个 


7. Linux 下 分 区 的 命令 是 ， 格 式 化 的 命令 是 ， 挂 载 的 命令 是 

二 、 问 答题 

1. 一 个 Linux 的 硬盘 分 区 是 /dev/sdb2， 这 个 硬盘 分 区 是 什么 意思 ? 

2. 请 说 明 什 么 是 工作 目录 ， 什 么 是 用 户 目 录 ? 

3. 文件 的 路 径 是 什么 ? 

三 、 上 机 实 训 

1. 使 用 Red Hat Linux 5.0 的 安装 盘 ， 在 计算 机 上 安装 Linux 系统 ， 并 正确 配置 ， 使 系 
统 能 够 正常 运行 。 

2. 掌握 登录 系统 和 退出 系统 的 方法 。 

3. 熟悉 几 种 不 同 的 关机 方式 。 
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学 习 目 的 与 要 求 : 


本 章 将 学 习 使 用 Linux 下 的 文本 编辑 工具 vi 对 文本 文件 进行 编辑 操作 。vi 编辑 器 是 
Visual Interface 的 简称 ， 通 常 称 为 vi。 它 在 Linux 上 的 地 位 就 像 edit 在 DOS 上 一 样 。 它 可 
以 执行 输出 、 删 除 、 查 找 、 替 换 、 块 操作 等 文本 操作 ， 而 且 用 户 可 以 根据 自己 的 需要 对 其 
进行 定制 ， 这 是 其 他 编辑 程序 所 没有 的 。 通 过 对 本 章 的 学 习 ， 读 者 应 做 到 以 下 几 点 
@ 熟悉 Vi 编辑 器 的 特点 。 

热 悉 Vi 编辑 器 的 3 个 模式 。 
熟练 掌握 如 何 进入 、 退 出 vi 编辑 器 的 3 个 模式 。 
熟练 使 用 命令 对 命令 模式 、 输 入 模式 和 末 行 模式 进行 编辑 


' 
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3.1 vi 编辑 器 的 特点 


Yi 是 Linux 和 Unix 上 最 基本 的 文本 编辑 器 ， 在 字符 模式 下 使 用 ， 是 一 种 效率 很 高 的 文 
本 编辑 工具 。 由 于 不 需要 图 形 界 面 ， 其 使 用 范围 更 广 。 尽 管 在 Linux 上 也 有 很 多 图 形 界 面 
的 编辑 器 可 用 ， 但 Vi 在 系统 配置 和 服务 器 管理 中 的 功能 是 那些 图 形 编辑 器 所 无 法 比拟 的 。 

VIM(vi Improved， 即 vi 增强 版 )， 比 vi 更 容易 使 用 ，vi 的 命令 几乎 全 部 都 可 以 在 vim 
上 使 用 。vi 是 Visual Interface 的 简称 ， 它 可 以 执行 输出 、 删 除 、 查 找 、 蔡 换 、 块 操作 等 文 
本 操作 ， 而 且 使 用 者 可 以 根据 自己 的 需要 对 其 进行 定制 ， 这 是 其 他 编辑 程序 所 没有 的 。 

了 i 不 是 一 个 排版 程序 ， 它 不 像 Word 或 WPS 那样 可 以 对 字体 、 格 式 、 段 落 等 其 他 属性 
进行 编排 ， 它 只 是 一 个 文本 编辑 程序 。vi 没有 菜单 ， 只 有 命令 并 且 命令 繁多 。 

Vi 命令 可 以 说 是 Unix/Linux 世界 里 最 常用 的 编辑 文档 的 命令 了 ， 很 多 人 不 喜欢 vi 就 
是 因为 它 有 太 多 的 命令 集 。 我 们 只 需要 掌握 基本 的 命令 ， 然 后 灵活 地 加 以 运用 即 可 。 

要 在 Linux 下 编写 文本 或 语言 程序 ， 用 户 首先 必须 选择 一 种 文本 编辑 器 。 大 多 数 Linux 中 
默认 的 Yi 是 vim， 它 兼容 所 有 标准 vi 的 操作 ， 并 且 有 多 窗口 编辑 、 多 风格 显示 等 新 的 功能 。 


3.2 vi 的 模式 


Vi 有 3 种 基本 的 工作 模式 ， 即 命令 模式 、 输 入 模式 和 末 行 模式 。 
1. 命令 模式 


当 启 动 vi 编辑 器 打开 或 创建 一 个 文件 时 ，vi 即 处 于 命令 模式 ， 通 过 发 布 Vi 命令 可 使 
vi 编辑 器 处 于 输入 模式 ， 任 何 时 候 只 要 按 Esc 键 就 会 进入 命令 模式 。 

在 命令 模式 中 ， 用 户 可 以 输入 各 种 合法 的 vi 命令 用 于 管理 自己 的 文档 。 此 时 从 键盘 上 
输入 的 任何 字符 都 被 当 作 编辑 命令 来 处 理 。 若 输入 的 字符 是 合法 的 vi 命令 ， 则 vi 在 接受 
用 户 命 令 之 后 完成 相应 的 动作 ; 若 输 入 的 字符 不 是 vi 的 合法 命令 ， 则 vi 会 响 铃 报警 。 

2. 输入 模式 

在 命令 模式 中 输入 i( 插 入 命令 )、a( 附 加 命令 )、o( 打 开 命 令 )、c( 修 改 命令 )、r( 取 代 命 
令 )、s( 蔡 换 命令 ) 等 合法 命令 字符 都 可 以 进入 输入 模式 。 在 该 模式 下 ， 用 户 的 任何 字符 都 会 
被 vi 当 作 文件 的 内 容 保存 并 在 屏幕 上 显示 出 来 。 在 文本 输入 过 程 中 ， 若 想 回 到 命令 模式 ， 
按 Esc 键 即 可 。 

3. 末 行 模式 

在 命令 模式 中 输入 “:”( 冒 号 ) 即 可 进入 末 行 模式 ， 此 时 vi 会 在 屏幕 上 的 最 后 一 行 显示 
出 “:” 来 作为 末 行 模式 的 提示 符 ， 等 待 用 户 输入 命令 。 多 数 文件 管理 命令 都 是 在 此 模式 中 
执行 的 (如 复制 某 行 或 某 段 )， 末 行 命令 执行 完 后 vi 自动 回 到 命令 模式 。 
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3.3 vi 的 基本 命令 


i 编辑 器 是 所 有 Unix 及 Linux 系统 下 标准 的 编辑 器 ， 其 功能 强大 ， 这 里 只 是 简单 地 介 
绍 它 的 用 法 和 一 小 部 分 指令 。 由 于 对 Unix 及 Linux 系统 的 任何 版 本 ，vi 编辑 器 是 完全 相同 
的 ， 因 此 用 户 可 以 在 其 他 任何 介绍 vi 的 地 方 进一步 了 解 它 。vi 也 是 Linux 中 最 基本 的 文本 
编辑 器 。 


3.3.1 进入 与 退出 vi 编辑 器 


要 想 进 入 vi 编辑 器 ， 可 以 直接 在 系统 提示 符 下 输入 “vi < 文件 名 >”。 

Vi 可 以 自动 载 入 所 要 编辑 的 文件 或 是 打开 一 个 新 的 文件 ， 进 入 vi 后 ， 屏 幕 左 方 会 出 现 
波浪 符号 。 如 果 首 行 有 该 符号 ， 就 代表 此 行 目前 是 空 的 ， 如 果 输 入 文件 名 ， 则 会 打开 一 个 
空 的 文件 ， 并 显示 VIM 的 简单 帮助 ， 如 图 3-1 所 示 。 


文件 旭 编 强 EE) 下 看 (WO 络 喘 (D 标签 刀 帮助 只 


图 3-1 VIM 的 帮助 
如 果 要 退出 vi， 编 辑 器 可 以 先 输入 “:” 进 入 末 行 模式 ， 然 后 使 用 q 命令 退出 vi 编辑 
器 。 如 果 文 件 被 修改 ， 和 希望 保存 后 退出 ， 使 用 w 命令 保存 文件 修改 ， 可 以 和 q 命令 一 起 使 
用 ,保存 后 退出 (:q 表示 不 存盘 退出 ，:wq 表示 存盘 退出 )。 
要 切换 到 命令 模式 ， 则 按 Esc 键 ， 如 果 不 知 道 现在 处 于 什么 模式 ， 可 以 多 按 几 次 Esc 
键 确保 进入 命令 模式 。 


3.3.2 命令 模式 的 编辑 操作 

1. 移动 光标 

要 修改 正文 内 容 ， 首 先 必须 把 光标 移动 到 指定 的 位 置 。 移 动 光 标 最 简单 的 方法 是 按键 
盘 上 的 方向 键 。 
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除了 这 种 方法 外 ， 在 命令 模式 中 ， 用 户 还 可 以 利用 i 提供 的 众多 字符 快捷 键 ( 见 表 3-1)， 
在 正文 中 移动 光标 ， 迅 速达 到 指定 的 行 或 列 实现 定位 。 
表 3-1 移动 光标 快捷 键 


按键 作 用 
UL 功能 分 别 等 同 于 方向 键 
Ctrl+B 在 文件 中 上 翻 页 ( 同 PageUp) 
CHtl+F 在 文件 中 下 翻 页 ( 同 PageDown) 
H 将 光标 移动 到 屏幕 的 最 上 一 行 
2H 将 光标 移动 到 屏幕 的 第 2 行 (如 果 是 3H， 移 动 到 第 3 行 ) 
M 将 光标 移动 到 屏幕 的 中 间 
二 将 光标 移动 到 屏幕 的 最 后 一 行 
2L 将 光标 移动 到 屏幕 的 倒数 第 2 行 (如 果 是 3， 则 移动 到 倒数 第 3 行 ) 
W 在 指定 行内 光标 右 移 到 下 一 个 单词 的 开头 
E 在 指定 行内 光标 右 移 到 下 一 个 单词 的 字 尾 
B 在 指定 行内 光标 左 移 到 下 一 个 单词 的 开头 
0 注意 是 数字 零 ， 光 标 移 至 当前 行 首 
人 移动 光标 ， 到 本 行 的 第 一 个 非 空 字符 
2. 蔡 换 和 删除 


将 光标 定 于 文件 内 的 指定 位 置 后 ， 可 以 用 其 他 的 字符 来 蔡 换 光标 所 指向 的 字符 ， 或 从 


当前 光标 的 位 置 删除 一 个 或 多 个 字符 。 蔡 换 和 删除 的 命令 见 表 3-2。 
表 3-2 车 换 和 删除 命令 
命 令 作 用 
Re 用 < 替换 光标 所 指向 的 当前 字符 
Nre 用 c 替换 光标 所 指向 的 当前 字符 开始 的 n 个 字符 
x 删除 光标 所 指向 的 当前 字符 
Nx 删除 光标 所 指向 的 前 n 个 字符 
3x 删除 光标 所 指向 的 前 3 个 字符 
Dw 删除 光标 右 侧 的 字符 
Ndw 删除 光标 右 侧 的 n 个 字符 
Db 删除 光标 左 侧 的 字符 
Ndb 删除 光标 左 侧 的 n 个 字符 
Dd 删除 光标 所 在 行 ， 并 去 除 空隙 
Ndd 删除 n 行内 容 ， 并 去 除 空隙 
3. 粘贴 和 复制 


从 正文 中 剪 切 的 内 容 (如 字符 、 字 和 行 ) 并 没有 真正 地 被 删除 ， 而 是 被 剪 切 并 复制 到 内 
存 的 缓冲 区 中 ， 用 户 可 将 其 粘贴 到 文件 中 的 指定 位 置 。 完 成 这 一 操作 的 命令 如 下 。 
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Pp: 将 缓冲 区 的 内 容 粘 贴 到 光标 的 后 面 。 

P: 将 缓冲 区 的 内 容 粘 贴 到 光标 的 前 面 。 

如 果 缓 冲 区 的 内 容 是 字符 ， 则 直接 粘贴 在 光标 的 前 面 或 后 面 ， 如 果 缓 冲 区 的 内 容 为 整 
行 正文 ， 则 粘贴 在 光标 所 在 行 的 上 一 行 或 下 一 行 。 注 意 上 述 两 个 命令 中 字母 的 大 小 写 。vi 
编辑 器 中 经 常 以 一 对 大 、 小 写字 母 (如 p 或 P) 来 提供 相似 的 功能 。 通 常 小 写 命令 自 光标 的 
后 面 进行 操作 ， 大 写 命令 在 光标 的 前 面 操作 。 

有 时 需要 将 文件 保留 并 复制 到 缓冲 区 (不 是 剪 切 )， 要 完成 这 一 操作 的 命令 如 下 。 

yy: 复制 当前 行 到 内 存 的 缓冲 区 。 

nyy: 复制 n 行内 容 到 内 存 的 缓冲 区 中 。 例 如 ，7yy 指 复制 7 行 的 内 容 到 内 存 的 缓冲 区 。 

4. 搜索 字符 串 


与 许多 编辑 器 一 样 ，vi 提供 了 强大 的 字符 搜索 功能 。 要 查找 文件 中 指定 的 字 或 短语 的 
位 置 ， 就 可 以 用 vi 直接 搜索 ， 而 不 需要 手动 方式 进行 ， 其 命令 如 下 。 

输入 字符 “/”， 在 后 面 输入 要 搜索 的 字符 串 ， 然 后 按 Enter 键 。 

编辑 程序 执行 正 向 搜索 ( 即 向 文件 末尾 的 方向 )， 并 在 找到 字符 串 后 将 光标 停 到 该 字符 
串 的 开头 ， 输 入 n 命令 可 以 继续 执行 搜索 。 找 到 这 一 字符 串 下 次 出 现 的 位 置 ， 用 字符 
“92” 代替 “/”， 可 以 实现 反 向 搜索 ( 即 从 文件 末尾 向 前 )， 举 例如 下 。 

@ /linux: 正 向 搜索 字符 串 linux。 

en: 继续 搜索 找到 linux 字符 串 下 一 次 出 现 的 位 置 。 

@ ?linux: 反 向 搜索 linux 字符 串 。 

无 论 是 正 向 的 还 是 反 向 的 搜索 工作 ， 都 会 循环 到 文件 的 另 一 端 ， 并 继续 执行 搜索 工作 。 

5. 撤销 和 重复 


在 编辑 文档 的 过 程 中 ， 为 了 消除 某 个 错误 的 编辑 命令 造成 的 后 果 ， 可 以 用 撤销 命令 。 
另外 ， 如 果 用 户 希 望 在 新 的 光标 位 置 重 复 前 面 执行 过 的 编辑 命令 ， 可 以 使 用 重复 的 命令 。 

“u”: 撤销 前 一 条 命令 。 

“.”: 重复 最 后 一 条 修改 正文 的 命令 。 


3.3.3 ”输入 模式 的 编辑 操作 


1. 进入 文本 输入 模式 
在 命令 模式 中 正确 定位 光标 后 ， 可 用 表 3-3 所 示 的 命令 切换 到 文本 输入 模式 。 
表 3-3 vi 常用 命令 字符 


命 令 作 用 
i | 在 光标 左 侧 输入 正文 

a | 在 光标 右 侧 输入 正文 

o 在 光标 所 在 行 的 下 一 行 添加 新 行 


2 


P= 
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续 表 
命 令 作 用 
O | 在 光标 所 在 行 的 上 一 行 添加 新 行 
I | 在 光标 所 在 行 的 开头 输入 正文 
A 在 光标 所 在 行 的 末尾 输入 正文 


使 用 i 命令 进入 文本 输入 模式 后 ，vi 的 状态 则 显示 INSERT 状态 提示 ， 这 时 所 有 的 字 
符 输入 都 被 当 作 文本 字符 对 待 。 如 果 在 当前 模式 下 输入 命令 模式 中 的 移动 命令 ， 它 们 会 被 
文本 文件 接受 为 输入 字符 ， 而 不 会 作为 命令 ， 如 图 3-2 所 示 。 


图 3-2 vi 的 输入 模式 


另外 还 有 一 些 命令 ， 它 们 允许 在 进入 插入 模式 之 前 首先 删 去 一 段 正文 ， 从 而 实现 正文 
的 替换 ， 见 表 3-4。 


表 3-4 其 他 命令 的 作用 


命 令 作 用 
S 删除 指定 数目 的 行 ， 并 以 所 输入 的 文本 代替 
Ns 输入 的 正文 蔡 换 光标 右 侧 的 n 个 字符 
Cw 用 输入 的 正文 蔡 换 光标 右 侧 的 字符 
New 用 输入 的 正文 替换 光标 右 侧 的 n 个 字符 
cb 用 输入 的 正文 蔡 换 光标 左 侧 的 字符 
Ncb 用 输入 的 正文 蔡 换 光标 左 侧 的 na 个 字符 
cd 用 输入 的 正文 蔡 换 光标 所 在 行 
Ncd 用 输入 的 正文 蔡 换 光标 下 面 的 n 行 
Cs 用 输入 的 正文 蔡 换 光 标 开始 到 末尾 的 所 有 字符 
C0 用 输入 的 正文 蔡 换 本 行 开头 到 光标 的 所 有 字符 


例如 ， 按 Esc 键 退出 输入 状态 ， 将 光标 定位 在 字符 j 上 ， 然 后 使 用 cb 命令 进入 输入 状 
态 ，Vi 会 删除 光标 左 侧 的 内 容 ， 然 后 等 待 用 户 输入 ， 如 图 3-3 所 示 。 
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only guest = yes 
;uritable = yes 
;printable = no 


The following two entries demonstrate how to share a directory so that two 
ere that will be owned by the specific users. In thi 

be uritable by both users and should have the 

ent abuse. Obviously this could be extended to 


as many 
:[myshare] 

:comment = Mary's and Fred's stuff 
path = /usr/somewhere/shared 


;printable = no 
;creste mask = 0765 


图 3-3 使 用 cb 命令 进入 输入 状态 
2. 文本 编辑 
进入 文本 编辑 模式 后 ， 操 作者 输入 的 任何 可 见 字符 都 会 显示 在 屏幕 上 ， 并 被 当 作文 件 
的 内 容 记 录 在 文件 中 。 
3. 退出 文本 编辑 模式 
若 要 退出 文本 编辑 模式 ， 只 需 按 Esc 键 即 可 。 


3.3.4， 末 行 模式 的 编辑 操作 


在 vi 的 末 行 模式 中 ， 可 以 使 用 复杂 的 命令 。 在 命令 模式 中 输入 “:”， 光 标 就 跳 到 屏 
幕 最 后 一 行 ， 并 在 那里 显示 “:”， 此 时 进入 末 行 模式 ， 用 户 输入 的 内 容 均 显示 在 屏幕 的 最 
后 一 行 ， 输 入 命令 后 按 Enter 键 就 会 执行 命令 。 


1. 退出 命令 


在 命令 模式 中 可 以 用 ZZ 命令 退出 vi 编辑 器 。 该 命令 保存 对 正文 的 修改 ， 即 保存 退 
出 ， 如 果 只 需要 退出 编辑 器 ， 不 保存 编辑 器 内 容 ， 可 用 下 列 命令 。 

:q 表示 在 没有 作 修 改 的 情况 下 退出 vi。 

:q! 表示 放弃 所 有 修改 ， 退 出 vi 编辑 器 ，“!” 具 有 强制 的 意义 。 

2. 行 号 与 文件 

编辑 中 的 每 一 行 正文 都 有 自己 的 行 号 ， 可 以 用 下 列 命 令 移动 光标 到 指定 行 : 

并 表 示 将 光标 移动 到 第 mn 行 。 

在 命令 模式 中 ， 可 以 规定 命令 操作 的 行 号 范围 。 数 值 用 来 指定 绝对 行 号 ; 字符 “.” 表 
示 光 标 所 在 行 的 行 号 ; 字符 “$” 表 示 正 文 最 后 一 行 的 行 号 。 例 如 ， 简 单 的 表达 式 “.+5” 
表示 当前 行 往 下 的 第 5 行 。 举 例 见 表 3-5。 
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表 3-5 行 号 和 文件 的 关系 


命 令 作 用 
:123 将 光标 移动 到 第 123 行 
:123wtest | 在 当前 目录 下 新 建 text 文件 ， 并 将 该 文件 123 行 写 入 test 文件 
:3.5wtest | 在 当前 目录 下 新 建 text 文件 ， 并 将 该 文件 3 一 5 行 写 入 test 文件 
:1.wtest | 在 当前 目录 下 新 建 text 文件 ， 并 将 该 文件 1 行 至 光标 所 在 当前 行 写 入 test 文件 
:..Swtest | 在 当前 目录 下 新 建 text 文件 ， 并 将 该 文件 的 光标 所 在 当前 行 至 最 后 一 行 写 入 test 文件 
:1.$w test | 在 当前 目录 下 新 建 text 文件 ， 并 将 该 文件 的 所 有 内 容 写 入 test 文件 


如 图 3-4 所 示 的 命令 是 将 当前 文件 的 20 一 30 行 的 内 容 写 入 test 文件 中 ， 输 入 “:20,30 
Ww test” 命 令 后 按 Enter 键 执行 。 


serbe OMT CoT Tt on pT 


n be found in the 
oaded frai 


3-4 ”部 分 内 容 写 入 另外 的 文件 


执行 完成 后 ， 可 用 cat 命令 查看 test， 如 图 3-5 所 示 (cat 是 用 来 查看 文本 文件 内 容 的 
工具 )。 


3-5 查看 test 内 容 


在 未 行 模式 下 ， 人 允许 从 其 他 文件 中 读 取 文件 ， 或 将 编辑 的 文件 写 入 其 他 文件 中 。 举 例 
见 表 3-6。 
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表 3-6， 末 行 命令 
命 令 作 用 
Ww 将 新 输入 的 内 容 写 入 原始 文件 ， 用 来 保存 编辑 中 的 结果 
-wg 将 新 输入 的 内 容 写 入 原始 文件 ， 保 存 并 退出 
-w fest | 将 新 输入 的 内 容 写 入 test 文件 ， 保 持原 文件 的 内 容 不 变 
:1,10 w test | 将 第 1~10 行 内容 写 入 test 文 件 
Ttest | 读 取 test 文 件 内 容 ， 插 入 到 当前 光标 所 在 行 的 后 面 
:etest | 编辑 新 文件 test 代 蔡 原 有 内 容 
ftest | 将 当前 文件 重 命名 为 test 
f 打印 当前 文件 名 称 和 状态 ， 如 文件 的 行 数 、 光 标 所 在 行 号 等 
3. 文本 替换 
当 需 要 替换 文件 中 的 字符 串 时 ， 只 需 在 查找 命令 的 前 面 加 上 s 命令 即 可 。 举 例 见 表 3-7。 
表 3-7 替换 命令 


用 字符 串 test2 蔡 换行 中 首次 出 现 的 字符 串 testl 
用 字符 串 test2 蔡 换 行 中 所 有 出 现 的 字符 串 testl 


用 字符 串 test2 蔡 换 文件 当前 行 到 尾行 所 有 出 现 的 字符 串 testl 
用 字符 串 test2 替换 文件 中 所 有 出 现 的 字符 串 testl 
同上 (用 字符 串 test2 蔡 换 文件 中 所 有 出 现 的 字符 串 test1) 
可 以 看 到 : g 放 在 命令 行 的 尾部 ， 表 示 对 搜索 字符 串 的 每 次 出 现 进行 替换 ， 不 加 g 表 
示 只 对 搜索 字符 串 的 首次 出 现 进行 蔡 换 ，g 放 在 命令 的 开头 ， 表 示 对 正文 所 有 包含 搜索 的 
字符 串 进行 替换 操作 。 
4. 删除 文件 中 的 内 容 
在 末 行 模式 中 ， 使 用 下 列 命令 删除 正文 中 的 内 容 。 举 例 见 表 3-8。 


表 3-8 删除 命令 
命 令 作 用 
:d 删除 光标 所 在 行 
:3d 删除 3 行 
:$d 删除 当前 行 至 正文 的 末 行 
/test1/./test2/d 删除 从 testl 到 test2 的 所 有 行 
5. 恢复 文件 


Vi 在 编辑 某 个 文件 时 ， 会 另外 生成 一 个 临时 文件 ， 这 个 文件 名 通常 以 “.” 开 头 ， 并 以 
“.swp” 结 尾 。vi 在 正常 退出 时 ， 该 文件 被 删除 ， 若 意外 退出 ， 而 没有 保存 文件 的 最 新 修 
改 内 容 ， 则 这 个 文件 不 会 被 删除 。 使 用 ls-a 命令 可 以 看 到 该 文件 。ls-a 可 以 列 出 当前 目录 
中 所 有 的 文件 ， 包 括 隐藏 文件 ， 如 图 3-6 所 示 。 
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3-6 查看 目录 下 所 有 的 内 容 
.smb.conf.swp 是 在 打开 smb.conf 文件 没有 正常 退出 时 所 产生 的 文件 。 再 重新 打开 该 文 
件 (smb.conf)， 会 发 现 提示 用 户 进行 相应 的 操作 ， 如 图 3-7 所 示 。 


25: ATTENTION 


conf sw” 
Fri Jul 4 15:03:00 2008 


localhost.localdomain 
ng) 


3-7” 非 正常 退出 再 次 打开 时 显示 的 信息 


用 户 可 以 对 其 进行 相应 操作 。 
O: 只 读 打 开 ， 不 改变 文件 内 容 。 
E: 继续 编辑 文件 ， 不 恢复 .swp 文件 保存 的 内 容 。 
R: 将 恢复 上 次 编辑 并 保存 的 文件 内 容 。 
Q: 退出 。 
D: 删除 .swp 文件 。 
如 果 用 户 不 希望 每 次 打开 smb.conf 文件 时 显示 图 3-7 所 示 的 内 容 ， 只 需 删 除 对 应 
的 .smb.conf swp 文件 即 可 ， 命 令 如 下 。 


#rm .smb.conf.swp 


本 章 习 题 
一 、 填 空 题 
1. Linux 中 最 常用 且 最 主要 的 文件 编辑 器 是 编辑 器 。 
2. Vi 编辑 器 不 需要 图 像 ， 可 以 工作 在 模式 下 ， 所 以 工作 效率 更 高 。 


3. Vi 编辑 器 有 三 种 工作 模式 ， 分 别 是 
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4. 在 i 编辑 器 的 模式 下 输入 的 任何 字符 ， 都 被 当 作 编辑 命令 来 处 理 。 
5. Vi 编辑 器 的 复制 命令 是 ， 粘 贴 命令 是 机 
二 、 问 答题 


1. Vi 编辑 器 的 特点 是 什么 ? 

2. 在 vi 编辑 器 中 如 何 将 光标 快速 地 移动 到 文件 的 倒数 第 10 行 ? 

3. 在 vi 编辑 器 中 如 果 删除 光标 所 在 位 置 的 前 5 个 字符 ? 

4. 在 Vi 编辑 器 中 如 果 删 除 光标 所 在 位 置 的 整 行内 容 ? 

5. 在 Vi 编辑 器 中 正 向 搜索 文件 中 的 Unix 字符 串 使 用 的 命令 是 什么 ? 

6. 在 vi 编辑 器 的 末 行 模 式 中 将 文件 中 的 字符 串 test 替换 为 home 的 命令 是 什么 ? 

三 、 上 机 实 训 

1. 使 用 Vi 的 替换 命令 把 question2_1.txt 文件 中 的 所 有 vi 改变 为 vim， 并 且 给 每 行 添加 
行 号 ， 结 果 保 存在 question2 2.txt 中 。 

2. 使 用 vi 编辑 命令 编辑 第 1 题 的 内 容 ， 并 保存 到 question2 1.txt 文 件 中 。 
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学 习 目的 与 要 求 ; 
Linux 下 的 命令 非常 多 ， 本 章 按照 Linux 命令 的 几 个 分 类 介绍 常用 的 一 些 命令 ， 对 于 
Linux 其 他 命令 的 学 习 ， 读 者 需要 在 今后 的 使 用 过 程 中 不 断 积累 。 
通过 对 本 章 的 学 习 ， 读 者 应 做 到 以 下 所 点 。 
。e 热 练 掌握 Linux 的 命令 格式 。 
熟练 使 用 帮助 命令 。 
热 练 使 用 命令 对 文件 、 目 录 进 行 操作 。 
热 练 使 用 命令 管理 用 户 。 
熟练 使 用 文件 的 备份 命令 。 
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4.1 Linux 命令 概述 


在 传统 的 Unix 系统 上 ， 系 统管 理 员 都 是 通过 命令 的 方式 进行 管理 的 ， 在 近代 
Linux/Unix 上 配置 了 GUI 的 工作 环境 ， 相 当 多 的 管理 命令 添加 了 图 形 工具 ， 可 以 使 用 图 形 
工具 来 进行 系统 的 管理 和 维护 ， 但 作为 系统 管理 员 最 有 效 、 最 直接 的 系统 管理 方式 还 是 命 
令 。 本 章 主要 介绍 没有 图 形 工具 的 命令 方式 。 

一 般 Linux 命令 分 为 两 大 类 : 一 类 为 Shell 内 部 命令 ， 另 一 类 为 Shell 外 部 命令 。Linux 
的 内 部 命令 数量 有 限 ， 内 部 命令 由 Shell 程序 实现 ， 而 且 绝 大 部 分 都 很 少 用 到 。 而 每 一 个 
Linux 外 部 命令 都 是 一 个 单独 的 应 用 程序 ， 我 们 非常 熟悉 的 ls、cp 等 绝 大 多 数 命令 都 是 外 
部 命令 ， 这 些 命令 都 以 可 执行 文件 的 形式 存在 ， 绝 大 部 分 放 在 目录 /bin 和 /sbin 中 。 


4.1.1 Linux 的 命令 格式 
Linux 的 命令 格式 如 下 。 


command [option] [arguments] 


其 中 : command 为 命令 名 ; option 为 命令 选项 ，arguments 为 参数 ， 若 无 参数 可 为 空 ， 
参数 可 以 是 多 个 。 

使 用 时 要 注意 以 下 事项 。 

(D 命令 名 由 小 写 的 英文 字母 构成 ， 往 往 是 表示 相应 功能 的 英文 单词 或 单词 的 缩写 。 
例如 ，date 表示 日 期 ，who 表示 谁 在 系统 中 ，cp 是 copy 的 缩写 ， 表 示 复 制 文件 等 。 

(2) 选项 是 对 命令 的 特别 定义 ， 以 “-” 开 始 ， 多 个 选项 可 用 一 个 “-” 连 起 来 ， 如 “ls 
-1-a” 与 “ls -la” 相 同 。 

(3) 命令 行 的 参数 提供 命令 运行 的 信息 ， 或 者 是 命令 执行 过 程 中 所 使 用 的 文件 名 。 通 
常 参 数 是 一 些 文件 名 ， 告 诉 命令 从 哪里 可 以 得 到 输入 ， 以 及 把 输出 送 到 什么 地 方 。 

(4) 如 果 命 令 行 中 没有 提供 参数 ， 命 令 将 从 标准 输入 文件 ( 即 键盘 ) 接 收 数据 ， 输 出 结果 
显示 在 标准 输出 文件 ( 即 显示 器 ) 上 ， 而 错误 信息 则 显示 在 标准 错误 输出 文件 ( 即 显示 器 ) 上 。 
可 使 用 重 定向 功能 对 这 些 文件 进行 重 定向 。 

(5) 命令 在 正常 执行 后 返回 一 个 0 值 ， 表 示 执 行 成 功 ， 如 果 命令 执行 过 程 中 出 错 ， 没 
有 完成 全 部 工作 ， 则 返回 一 个 非 零 值 (在 Shell 中 可 用 变量 “$?” 查 看 )。 在 Shell 脚本 中 可 
用 命令 返回 值 作为 控制 逻辑 的 一 部 分 。 

(6) Linux 操作 系统 的 联机 帮助 对 每 个 命令 的 准确 语法 都 做 了 说 明 ， 可 以 使 用 命令 man 
来 获取 相应 命令 的 联机 说 明 ， 如 “man ls”。 

例如 ， 列 出 当前 目录 下 所 有 扩展 名 为 .jpg 的 文件 ， 如 图 4-1 所 示 。 
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repeal best nature]# ls -TL =- 

. cot root © 299353 11 11 2010 Aqua jpa 
rete root root S7513 有 1 2019 Minds,ipg 
- .1 root root 1621283 11 11 2916 Duns, 


1 root root 267448 11 月 11 2916 YeLLovFlower jpg 
rootaiocainost naturels 
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此 命令 的 含义 : -1 表示 要 求 按 长 格式 显示 文件 信息 ; *.jpg 表示 列 出 扩展 名 为 jpg 的 
文件 。 

在 执行 Linux 命令 时 ，Shell 必须 能 够 找到 这 个 程序 文件 。Shell 的 环境 变量 PATH 包 
含 了 一 系列 的 目录 路 径 ， 用 于 Shell 的 自动 搜索 。 如 果 程 序 文件 直接 位 于 这 个 目录 中 ， 则 
可 以 在 Shell 提示 符 下 直接 输入 程序 名 ，Shell 在 PATH 所 指定 的 目录 中 能 找到 该 文件 ， 即 
可 载 入 执行 ， 如 果 一 个 程序 文件 没有 放 在 这 些 目录 中 ， 则 需要 使 用 绝对 路 径 来 运行 这 个 命 
令 。 例 如 ， 编 译 安装 一 个 apache 程序 ， 该 程序 的 安装 目录 是 用 户 安装 时 指定 的 /asrapache 
目录 。 如 果 用 户 现在 的 工作 目录 就 是 在 apache 目录 下 ， 可 以 直接 输入 命令 运行 apache 程 
序 ; 如 果 工 作 目 录 没 在 /usr/apache 目录 下 ， 就 要 输入 绝对 路 径 来 运行 apache 程序 。 


4.1.2 Linux 的 命令 参数 


执行 Linux 命令 时 除了 命令 本 身 外 ， 还 可 以 包括 可 选 参数 和 命令 对 象 参数 。 通 过 这 两 
种 类 型 的 参数 ， 可 以 让 一 个 程序 每 次 运行 时 都 能 接受 用 户 的 不 同 指令 ， 采 取 不 同 的 运行 方 
式 ， 作 用 不 同 的 对 象 ， 产 生 不 同 的 运行 结果 。 

Linux 遵循 一 种 统一 的 命令 行 格式 ， 通 常 有 两 种 表达 方式 ， 即 短 格式 和 长 格式 。 短 格 
式 是 由 一 个 “-” 加 上 字符 组 成 ， 如 -h、-v、-l filepath 等 ， 而 长 格式 是 由 “--” 加 一 个 单词 
组 成 ， 如 --help、--version、--load filepath 等 。 


4.1.3 ”帮助 命令 


Linux 操作 系统 作为 GNU 的 产品 ， 不 仅 向 用 户 开放 所 有 的 程序 代码 ， 而 且 提 供 程序 开 
发 者 与 其 他 参与 者 一 起 编写 的 大 量 帮助 文档 ， 这 些 文档 随 着 程序 的 发 布 一 起 安装 在 系统 
中 。 实 际 上 用 户 可 以 在 系统 管理 的 过 程 中 ， 通 过 4 种 方式 获得 一 个 命令 的 有 关 帮 助 信息 。 
1. 帮助 选项 


Shell 命令 使 用 --help 选项 获得 使 用 帮助 ， 而 其 他 的 命令 通过 -h 或 --help 选项 获得 命 
令 的 参数 列表 或 简单 的 使 用 说 明 ， 有 的 程序 支持 两 种 选项 方式 ， 而 有 一 些 程序 只 支持 
其 中 一 种 。 例 如 ， 使 用 mkdir--help 命令 ， 可 获得 mkdir 程序 的 参数 列表 和 简单 说 明 ， 
如 图 4-2 所 示 。 
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设 定 权限 < 模式 > (类 似 chaod)， 而 不 是 
需要 时 创建 上 层 目录 ， 如 目录 早已 存在 多 
se 每 次 创建 新 目录 都 显示 信息 

显示 此 帮助 信息 并 退出 
一 version 输出 版 本 信息 并 退出 


4-2 mkdir 帮助 
2. 使 用 man 命令 获得 帮助 


几乎 Linux 的 每 个 命令 都 有 相应 的 联机 帮助 文档 ， 可 以 使 用 man 命令 查看 这 些 帮助 文 
档 。 例 如 ， 用 man 命令 查看 chmod 命令 的 联机 帮助 文档 ， 输 入 man chmod， 按 Enter 键 ， 
就 可 得 到 帮助 文档 ， 如 图 4-3 所 示 。 


图 4-3 chmod 帮助 手册 


man 命令 由 以 下 几 部 分 组 成 。 
程序 名 称 (name)。 
命令 格式 (synopsis)。 
程序 功能 的 描述 (description)。 
所 有 选项 清单 及 其 描述 (options)。 
列 出 与 这 个 程序 有 关 的 其 他 程序 (see also)。 
列 出 这 个 程序 使 用 或 修改 的 文件 (file)。 
列 出 这 个 程序 开发 的 重要 里 程 碑 (history)。 
@ 程序 的 作者 (authors)。 
man 命令 的 查找 路 径 为 /usr/share/man， 也 就 是 说 ， 所 有 man 文件 都 放 在 这 个 目录 中 。 
man 文件 是 用 less 程序 来 显示 的 (可 以 方便 地 使 屏幕 上 翻 和 下 翻 )， 所 以 在 man 显示 页 面 里 
可 以 使 用 less 的 控制 键 查看 帮助 文件 。 
Less 的 参数 如 下 。 
[qd]: 退出 。 
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[Enter]: 逐 行 下 翻 。 

[Space]: 逐 页 下 翻 。 

[b]: 上 翻 页 。 

办: 后 跟 一 个 字符 串 和 [Enter] 来 查找 字符 串 。 
[a]: 寻找 上 一 次 查找 的 下 一 个 匹配 。 


3. 使 用 info 查看 信息 


info 程序 是 GNU 的 超 文本 帮助 系统 ，Linux 中 大 多 数 软件 提供 了 info 文件 形式 的 在 线 
文档 。info 文档 一 般 保存 在 /usr/share/info 目录 中 ， 可 使 用 info 命令 查看 info 文档 。 要 运行 
info 可 以 在 Shell 提示 后 输入 info，info 帮助 系统 的 初始 屏幕 显示 一 个 主题 目录 ， 可 以 将 光 
标 移动 到 带 “* ”的 主题 菜单 上 ， 然 后 按 Enter 键 进入 该 主题 ， 也 可 以 输入 m 命令 后 跟 主 
体 菜单 的 名 称 进入 该 主题 。 例 如 ， 输 入 m 命令 ， 然 后 输入 grep 就 可 以 进入 grep 的 主题 。 

要 在 主题 间 跳 转 可 以 使 用 下 面 的 命令 。 

n: 跳 转 到 该 节点 的 下 一 个 节点 。 

p: 跳 转 到 该 节点 的 上 一 个 节点 。 

m: 手动 输入 节点 名 ， 进 入 该 节点 的 下 一 层 。 

?: 显示 info 的 使 用 帮助 。 

1: 返回 上 一 层 节点 。 

u: 打开 与 本 节点 关联 的 上 一 节点 。 

h: 显示 info 的 帮助 ， 要 返回 只 需 按 1 即 可 。 

info: 的 帮助 主 界面 如 图 4-4 所 示 。 


is the top of the INFO tree 


欢 册 使 用 Info 4.8 版 。 输 入 ?以 获得 帮助 ，m 将 入 到 菜单 


4-4 info 的 帮助 主 界面 
4. help 命令 


help 命令 用 于 查看 所 有 的 Shell 命令 。 用 户 可 以 通过 该 命令 查找 Shell 命令 的 用 法 ， 只 
需要 在 所 查找 的 命令 前 输入 help 命令 ， 就 可 以 看 到 所 要 查找 的 命令 内 容 。 例 如 ， 要 查看 
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pwd 命令 的 使 用 方法 ， 可 以 按照 图 4-5 所 示 进 行 操作 。 


TE help prd 


图 4.5 pwd 帮助 
4.2 文件 系统 操作 命令 


Linux 系统 的 所 有 数据 以 文件 形式 存放 在 Linux 主机 上 ， 它 们 以 “/” 目 录 作 为 根 目 
录 ， 分 层 组 成 一 个 树 形 结构 文件 系统 ，Linux 系统 管理 员 在 管理 中 需要 进行 装载 文件 系 
统 、 建 立 目录 、 复 制 文 件 等 方面 的 工作 。 


4.2.1 目录 操作 命令 


Linux 系统 的 文件 都 存放 在 一 定 的 目录 中 ， 从 “/” 根 目录 开始 ， 以 树 形 结构 向 下 延 
伸 ， 上 下 目录 之 间 使 用 “/” 隔 开 。 例 如 ，/etc/samba/smb.conf 表示 在 根 目录 下 的 etc 目录 
下 的 samba 目录 中 有 一 个 文件 smb.conf。 由 于 目录 也 是 文件 的 一 种 ， 因 而 对 文件 的 操作 也 
同样 适用 于 目录 。 


1. 目录 访问 


(1) ls 文件 名 或 目录 名 。 

例如 : 

ls: 列 出 目前 目录 下 的 文件 名 。 

1s-a: 列 出 包括 以 “.” 开 头 的 隐藏 文件 在 内 的 所 有 文件 名 。 

ls-t: 依照 文件 最 后 的 修改 时 间 列 出 文件 名 。 

ls-1: 列 出 文件 的 详细 信息 。 

ls-R: 列 出 所 有 子 目录 下 的 文件 。 

ls- u: 以 文件 上 次 被 访问 的 时 间 排 序 。 

ls /: 列 出 根 目录 下 的 所 有 文件 及 目录 。 

(2) 查看 当前 用 户 所 在 的 位 置 。 

pwd (显示 当前 工作 目录 ) 命 令 告 诉 用 户 当 前 所 在 的 位 置 。 例 如 ， 查 看 当前 工作 目录 ， 
如 图 4-6 所 示 。 
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(3) 查看 目录 所 占 的 磁盘 容量 。 其 格式 如 下 。 
du [-s] 目录 


例如 : 使 用 du /ete 显示 ete 目录 总 容量 及 其 子 目录 的 容量 (以 KB 为 单位 )， 如 图 4-7 所 示 。 


4-7 ”显示 etc 目录 总 容量 及 其 目录 的 容量 
若 只 显示 etc 的 总 容量 可 使 用 du-s/etc， 如 图 4-8 所 示 。 


[Fs ete 


~]= 


图 4-8 显示 etc 的 总 容量 
(4) 改变 工作 目录 。 其 格式 如 下 。 


cd [name] 
其 中 ，name 为 目录 名 、 路 径 或 目录 缩写 。 
例如 : 


[root@loacalhost root]#cd /etc 表示 将 目录 位 置 至 于 etc 下。 

[root@loacalhost root]# cd ~user 表示 改变 目录 置 于 用 户 的 工作 目录 (user 为 用 户 名 )。 

[root@loacalhost root]#cd .. 表 示 将 目录 位 置 返回 至 相对 路 径 的 父 目录 。 

2. 建立 和 删除 目录 

(1) 建立 目录 。 其 格式 如 下 。 

mkdir 目录 名 

例如 ，[root@loacalhost root]j#mkdir test 表示 建立 test 目录 。 

(2) 删除 目录 。 其 格式 如 下 。 

rmqdir 目录 名 或 rm 目录 名 

例如 ，[root@loacalhost rootl 纹 mdir test 表示 删除 test 目录 ， 前 提 是 在 test 目录 下 没有 
文件 或 目录 ， 否 则 无 法 删除 ; 

[root@loacalhost root]# 扩 m -rtest 表示 删除 test 目录 及 目录 下 的 所 有 文件 ; 

[root@loacalhost rootj#mm -ftest 表示 不 询问 ， 直 接 删除 test 目录 及 目录 下 的 所 有 文件 。 
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3. 装载 文件 系统 

一 个 硬盘 分 区 所 构成 的 文件 系统 在 装载 之 前 是 不 可 访问 的 ， 而 装载 是 把 一 个 文件 系统 
与 具体 的 目录 绑 定 ， 系 统 可 以 在 该 目录 下 访问 这 个 文件 系统 的 所 有 文件 。 系 统 安装 时 建立 
的 主 分 区 必须 在 启动 时 装载 到 “/” 根 目录 下 ， 这 是 由 系统 自动 进行 的 ， 而 对 于 一 个 备份 分 
区 ， 则 可 以 在 启动 后 由 root 用 户 使 用 mount 命令 手动 挂 载 ， 或 通过 写 /etc/fstab 文件 将 一 个 
分 区 自动 挂 载 到 一 个 目录 后 进行 访问 。 

(1) 装载 文件 系统 。 

使 用 mount 命令 装载 文件 ， 其 格式 如 下 。 

mount [- 参 数 ] [设备 名 称 ] [ 挂 载 点 ] 


Linux 的 设备 可 以 使 用 文件 的 形式 进行 管理 ， 所 有 的 硬件 设备 都 登记 在 /dev 目录 下 ， 
硬盘 分 区 一 般 使 用 /dev/hdaN 来 表示 ，N 表示 第 几 个 分 区 。 例 如 ， 要 把 用 来 备份 的 分 
/dev/hda5 装载 到 目录 /mnt/dever 下 ， 应 首先 建立 目录 。 


[root@loacalhost root]#mkdir /mnt/dever 


将 Ext3 文件 系统 装载 到 /mnt/dever 目录 下 ， 对 /mnt/dever 目录 的 操作 就 是 对 hda5 分 区 
的 操作 ， 使 用 命令 如 下 。 


[root@loacalhost root]#mount -t ext3 /dev/sda5 /mnt/dever 


挂 载 光驱 的 命令 如 下 。 


[root@loacalhost root]#mount -t iso9660 /dev/cdrom /mnt/cdrom 


光盘 的 文件 系统 为 ISO 9660 系统 ， 设 置 挂 载 点 为 /mnt/cdrom。 
在 Windows 下 虚拟 光盘 可 以 用 虚拟 光驱 打开 ， 而 在 Linux 下 就 可 以 用 mount 挂 载 到 一 
个 目录 上 ， 进 行 访问 非常 方便 ， 命 令 如 下 。 


[root@loacalhost root]#mount -Oo loop /home/xxxx.iso /mnt/xuni 


我 们 事先 已 经 在 /mnt 目录 下 建立 了 xuni 的 目录 。 

“-o loop ”是 指 需要 使 用 “loopback device”( 环 路 设备 )， 所 谓 “loopback device” 
指 的 就 是 拿 文 件 来 模拟 块 设备 。 

(2) 自动 挂 载 分 区 写 入 fstab 文件 。 

fstab 是 文件 系统 表 ， 其 中 保存 的 是 每 个 分 区 挂 载 的 位 置 ， 也 就 是 分 区 和 挂 载 点 的 映射 
关系 。 如 果 希 望 每 次 开机 时 ， 硬 盘 的 sda5 分 区 自动 挂 载 到 mnt 目录 下 的 dever 目录 中 ， 可 
以 在 fstab 文件 中 添加 一 条 命令 。 


/dev/sda5 /mnt/dever ext3 defaults 0 0 
各 参数 的 含义 如 下 。 


/dev/sda5: 需要 挂 载 的 分 区 。 
/mnt/dever: 分 区 的 挂 载 点 。 


区 


H 个 个 
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ext3: 分 区 的 文件 系统 。 

defaults: 挂 载 选项 (也 就 是 mount 命令 的 -o 选项 )。 

第 一 个 0: 转 储 标志 是 否 备份 ， 分 区 0 不 需要 备份 。 

第 二 个 0: 分 区 的 自 检 顺序 ， 设 置 在 开机 的 时 候 是 否 需 要 自 检 ,0 表示 不 需要 自 检 。 


分 区 的 自 检 顺序 需要 注意 ， 它 要 么 是 0， 要 么 是 2， 注 意 不 能 是 1， 只 有 根 分 区 才能 是 


能 万 1， 只 


有 此 起 
1， 如 图 4-9 所 示 。 


接 下 来 我 们 看 具体 的 挂 载 方 法 ， 如 图 4-9 所 示 。 


图 4-9 分 区 自 检 挂 载 方法 
现在 fstab 文件 系统 表 已 经 写 好 ， 以 后 系统 每 次 重新 启动 后 都 会 自动 挂 载 分 区 sdd1。 
如 果 务 载 分 区 sddl 后 再 挂 载 ， 就 不 需要 将 命令 写 全 ， 只 写 mount/dev/sdd1 即 可 ， 因 为 
mount 命令 会 自动 到 fstab 文件 系统 表 查 询 这 个 设备 对 应 的 挂 载 点， 然后 自动 挂 载 。 
(3) 使 用 卷 标 挂 载 。 
卷 标 就 是 给 分 区 加 上 一 个 标 


志 信 息 。 

我 们 知道 一 个 分 区 的 编号 会 发 生变 化 ， 如 用 fdisk 命令 把 sddl 变 成 sdd2， 分 区 号 发 生 了 
变化 。 如 果 永 久 性 地 挂 载 这 个 sddl 分 区 ， 当 分 区 编号 发 生变 化 ， 那 么 就 找 不 到 这 个 分 区 了 ， 
如 果 使 用 卷 标 的 形式 ， 就 可 以 利用 卷 标 来 跟踪 这 个 分 区 ， 而 不 需要 使 用 一 个 固定 的 设备 名 。 

添加 卷 标 使 用 的 命令 是 e21abel， 如 #e2label /dev/sddl test， 如 图 4-10 所 示 。 


# e2label /dev/ sddl test 


图 4-10 添加 卷 标 


卷 标的 名 称 可 以 是 特殊 字符 、 数 字 等 ， 不 管用 什么 系统 ， 其 只 被 当 作 一 个 字符 串 使 用 。 
sddl 有 了 卷 标 以 后 ， 用 户 即 可 通过 卷 标 来 描述 这 个 分 区 ， 下 一 次 再 挂 载 sddl 设备 的 


时 候 就 不 需要 输入 /dev/sdd1l1， 而 只 输入 LABEL=test 即 可 ， 如 图 4-11 所 示 。 


# mount LABEL=test /mnt 


图 4-11 使 用 卷 标 挂 载 设备 
图 4-11 所 示 命 令 就 是 挂 载 sddl 的 另 一 种 卷 标 挂 载 方式 。 该 命令 的 意思 为 卷 标 为 test 
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/ 
/ 


的 那个 分 区 挂 载 到 mnt 的 sddl 目录 下 。 

三 注意 : ”图 4-11 中 LABEL 为 大 写字 母 ， “=” 两 边 没有 空格 ， 使 用 卷 标的 时 候 卷 标 
名 称 不 能 冲突 。 如 果 有 两 个 分 区 的 卷 标 名 同时 是 test， 在 挂 载 第 二 个 分 区 的 
时 候 就 会 发 生 冲 突 。 


写 入 fstabl 文件 ， 如 图 4-12 所 示 。 具 体 的 挂 载 过 程 如 图 4-13 所 示 。 


图 4-12 fstab1 文件 


图 4-13 ”使 用 卷 标 挂 载 设备 的 全 过 程 
首先 进入 mnt 目录 查看 是 否 有 挂 载 目录 sddl ， 然 后 检查 /dev/sddl 是 否 有 卷 标 ， 给 


绍 


/dev/sddl 设置 卷 标 test， 最 后 使 用 卷 标 挂 载 /dev/sdd1。 

(4) 印 载 文 件 系统 。 

使 用 umount 命令 来 卸载 文件 系统 ， 其 格式 如 下 。 

umount 目录 名 及 路 径 

文件 系统 被 卸载 后 ， 在 系统 退出 之 前 应 该 把 它 和 卸载 ， 否 则 有 可 能 损害 硬件 设备 。 

对 于 印 载 分 区 ， 命 令 如 下 。 

[root@loacalhost root]#umount /mnt/derver 

对 于 卸载 光驱 ， 命 令 如 下 。 

[root@loacalhost Froot]#umount /mnt/cdrom 

(5) 磁盘 查看 命令 df 

df 命令 的 功能 : 检查 文件 系 0 宇 间 占用 情况 。 可 以 利用 该 命令 来 获取 硬盘 被 占 
用 了 多 少 空间 、 目 前 还 剩 下 多 少 空间 等 信息 。 其 格式 如 下 。 
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df [选项 ] 


说 明 : df 命令 可 显示 所 有 文件 系统 对 i 节点 和 磁盘 块 的 使 用 情况 。 

该 命令 各 个 选项 的 含义 如 下 。 

-a: 显示 所 有 文件 系统 的 磁盘 使 用 情况 ， 包 括 0 块 (Block) 的 文件 系统 ， 如 /proc 文 
件 系统 。 

睐 : 以 上 字 节 为 单位 显示 。 

-i: 显示 i 节点 信息 ， 而 不 是 磁盘 块 。 

-t: 显示 各 指定 类 型 的 文件 系统 的 磁盘 空间 的 使 用 情况 。 

-x: 列 出 不 是 某 一 指定 类 型 文件 系统 的 磁盘 空间 的 使 用 情况 (与 + 选项 相反 )。 

-T: 显示 文件 系统 类 型 。 

【 例 4-1】 列 出 各 文件 系统 的 磁盘 空间 的 使 用 情况 ， 如 图 4-14 所 示 。 


图 4-14 磁盘 空间 情况 
【 例 4-2】 可 以 使 用 参数 T 查 看 分 区 的 类 型 ， 如 图 4-15 所 示 。 


图 4-15 带 分 区 类 型 的 磁盘 空间 情况 
4.2.2 文件 操作 命令 


Linux 的 文件 分 为 普通 文件 、 目 录 文 件 、 设 备 文件 和 链接 文件 几 个 类 别 。 除 了 设备 文 
件 需 要 装载 后 作为 一 个 目录 来 访问 外 ， 其 他 的 文件 操作 如 权限 设置 、 移 动 、 复 制 、 删 除 、 
查找 等 都 能 够 以 文件 为 对 象 。 

1. 访问 文件 

(1) 列 出 单个 文件 的 信息 或 目录 下 的 文件 信息 。 其 格式 如 下 。 详 细 说 明 见 4.2.1 节 。 

ls 目录 名 

(2) 使 用 find 命令 查找 。 其 格式 如 下 。 


find path expression 


各 参数 的 含义 如 下 。 
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件 )、 


path: 路 径 。 
expression: 符合 条 件 ， 可 以 指 文件 的 名 称 、 类 型 、 日 期 、 大 小 、 权 限 等 。expression 


中 经 常 使 用 的 选项 包括 以 下 各 项 。 


-name: 按 文 件 名 查找 。 

-amin n: 在 过 去 n 分 钟 内 被 读 取 过 。 

-anewer file: 比 档案 file 更 晚 被 读 取 过 的 档案 。 

-atime n: 在 过 去 n 天 读 取 过 的 档案 。 

-cmin n: 在 过 去 n 分 钟 内 被 修改 过 。 

-cnewer file: 比 档案 file 更 新 的 档案 。 

-ctime n: 在 过 去 n 天 修改 过 的 档案 。 

-typeT: 文件 类 型 是 T 的 文件 。 文 件 类 型 有 d( 目 录 )、c( 字 符 设备 文件 )、b( 块 设备 文 
f 普 通 文件 )、]( 符 号 链接 )、s( 套 接 字 文 件 )。 

在 find 命令 中 还 可 以 使 用 -and、-or、-not、! 运算 符 对 查找 条 件 进行 逻辑 运算 。 
例如 : 

将 当前 目录 及 其 子 目录 下 所 有 扩展 名 是 .jpg 的 文件 列 出 ， 命 令 如 下 。 


[root@loacalhost root]#find . -name "*.jpg" 
将 当前 目录 及 其 子 目录 中 所 有 的 普通 文件 列 出 ， 命 令 如 下 。 


[root@loacalhost root]#find . -typef 


将 当前 目录 及 子 目 录 中 最 近 10 天 修改 过 的 文件 列 出 ， 命 令 如 下 。 


[root@loacalhost root]#find . -ctime-10 


(3) 使 用 whereis 命令 查找 。 其 格式 如 下 。 


whereis options filename 


可 以 使 用 的 选项 如 下 。 

b: 只 查找 二 进 制 文件 。 

m: 查找 主要 文件 。 

s: 查找 来 源 。 

u: 查找 不 常用 的 记录 。 

whereis 命令 可 以 迅速 地 找到 文件 ， 而 且 还 可 以 提供 这 个 文件 的 二 进 制 可 执行 文件 、 源 


代码 文件 和 使 用 手册 存放 的 位 置 。 


例如 ， 查 找 chmod 文件 及 其 他 使 用 手册 存放 的 位 置 等 ， 如 图 4-16 所 示 。 


alhost dai]#= whereis chmod 

in/chmod /usr/share/man/man3p/chmod.3p.gz /usr/share/man/ 
are/man/man1p/chnod.1p.gz /usr/share/man/manl/chmod.1. 
alhost dai ]# 
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(4) 查看 文件 内 容 。 其 格式 如 下 。 

cat 文件 名 

例如 ，cat/etc/samba/sam.conf， 表 示 查 看 etc 目录 下 的 samba 目录 中 的 sam.conf 文件 的 
内 容 。 

(5) 分 页 查看 文件 内 容 。 其 格式 如 下 。 

more 文件 名 

或 

cat 文件 名 Imore 


例如 ，more file 和 cat filelmore 均 表 示 以 分 页 方式 查看 file 文件 内 容 ， 分 页 查看 效果 
如 图 4-17 所 示 。 


V3 DSA stgnature: NOKEY, key ID 37017186 


图 4-17 分 页 查看 文件 内 容 
2. 复制 、 移 动 、 删 除 文件 
(1) 复制 文件 或 目录 。 其 格式 如 下 。 
cp -r 源 地 址 目标 地 址 
例如 : 
cp testl test2: 将 文件 testl 复制 到 test2 中 。 
cp testl/home: 将 文件 复制 到 home 目录 中 。 


cp /homeytestl test2: 将 home 下 的 文件 testl 复制 到 该 目录 中 ， 重 命名 为 test2 。 
(2) 移动 或 更 改 文件 和 目录 名 称 。 其 格式 如 下 。 


mv 源 地 址 目的 地 址 

例如 : 

Imvtestl test2: 将 文件 testl 重 命名 为 test2。 

mv testl /home: 将 文件 testl 移动 到 home 目录 中 。 


Linux 操作 与 服务 器 配置 实用 教程 


(3) 删除 文件 或 目录 。 其 语法 格式 如 下 。 

rm 文件 名 

例如 : 

rm test1: 删除 文件 testl 。 

rm -ftest1: 不 询问 删除 testl 。 

Im 们 :删除 文件 名 以 f 开 头 的 文件 。 

Im -ff 伴 : 不 询问 删除 文件 名 以 了 开头 的 文件 。 

3. 设置 文件 或 目录 权限 

Linux 是 一 个 典型 的 多 用 户 操作 系统 ， 不 同 的 用 户 有 着 不 同 的 权限 。 为 了 保护 系统 的 


安全 性 ，Linux 系统 对 不 同 用 户 访问 同一 文件 或 目录 的 权限 作 了 不 同 的 规定 。 对 于 Linux 
系统 中 的 文件 来 说 ， 它 的 权限 可 以 分 为 3 种 ， 即 读 、 写 和 可 执行 权限 。 


文件 都 有 一 个 特定 的 所 有 者 ， 也 就 是 对 文件 具有 所 有 权 的 用 户 ， 同 时 由 于 在 Linux 系 


统 中 ， 用 户 是 按 组 分 类 的 一 个 用 户 ， 属 于 一 个 或 多 个 组 。 文 件 所 有 者 以 外 的 用 户 又 可 以 分 
为 文件 所 有 者 同 组 的 用 户 和 其 他 组 的 用 户 ， 因 此 Linux 系统 按 文件 所 有 者 、 文 件 所 有 者 同 
组 用 户 和 其 他 组 的 用 户 3 类 规定 了 不 同 的 文件 访问 权限 。 


使 用 ls-1 命令 就 可 以 显示 一 个 文件 的 权限 及 文件 所 属 的 用 户 和 组 ， 如 图 4-18 所 示 。 


图 4-18 显示 文件 的 信息 


图 4-18 中 每 个 文件 的 访问 权限 由 左边 第 一 个 部 分 的 10 个 字符 来 决定 ， 它 们 的 意义 分 


别 如 下 。 


(1) 从 左 至 右 第 一 个 字符 表示 一 个 文件 类 型 。 其 中 的 字符 可 设置 如 下 。 

d: 一 个 目录 。 

b: 该 文件 是 一 个 系统 设备 ， 通 常 是 一 个 磁盘 。 

c: 该 文件 是 一 个 系统 设备 ， 一 般 是 串口 设备 和 语音 设备 。 

-: 该 文件 是 一 个 普通 文件 。 

1: 链接 文件 。 

p: 该 文件 为 命令 管道 文件 。 

s: 该 文件 为 socket 文件 。 

(2) 第 一 部 分 的 第 2 一 4 个 字符 用 来 确定 文件 所 有 者 的 用 户 (user) 权 限 ， 第 5 一 7 个 字符 


第 4 章 Linux 下 的 命令 I 只 


用 来 确定 与 文件 所 有 者 同 组 用 户 的 权限 ， 第 8 一 10 个 字符 用 来 确定 其 他 用 户 的 权限 。 其 他 
用 户 既 不 是 文件 所 有 者 ， 也 不 是 同 组 用 户 。 其 中 ， 第 2、5、8 个 字符 用 来 控制 文件 的 读 权 
限 ， 该 字符 为 + 时 ， 人 允许 用 户 从 该 文件 中 读 取信 息 ， 如 果 是 一 个 短线 “-”， 表 示 不 允许 读 
取 文 件 信息 内 容 ; 第 3、6、9 个 字符 控制 文件 写 的 权限 ， 该 位 置 如 果 是 w， 表 示人 允许 用 户 
向 文件 中 写 入 信息 ， 该 位 如 果 是 短线 “-”， 表 示 不 允许 向 文件 中 写 信息 ; 第 4、7、10 个 
字符 控制 文件 的 可 执行 权限 ， 该 位 若 为 x， 表 示 可 以 执行 文件 ， 如 果 是 短线 “-”， 表 示 不 
允许 执行 文件 。 

例如 图 4-19 列 出 的 文件 的 相关 信息 中 ， 该 文件 所 有 者 是 root， 属 于 root 用 户 组 ， 并 且 
root 用 户 具 有 可 读 、 可 写 的 权限 ，root 组 中 其 他 用 户 具 有 可 读 的 权限 ， 其 他 组 的 用 户 有 可 
读 的 权限 。 文 件 的 大 小 为 50B， 创 建 时 间 为 7 月 4 日 13 时 23 分 。 


4-19 文件 信息 


在 Linux 中 建立 一 个 新 的 文件 后 有 一 个 默认 的 权限 ， 这 个 权限 受 umask 掩 码 控制 。 如 
果 umask 掩 码 为 022， 新 文件 权限 为 rw-r--r--。 当 文件 的 运行 环境 发 生变 化 ， 需 要 修改 文 
件 权限 时 ，Linux 提供 了 chmod chown chgrp 命令 来 改变 文件 的 权限 。 

(1) 使 用 chmod 命令 设置 文件 或 目录 的 操作 权限 。 其 格式 如 下 。 


chmod [-R] user mode filename 


各 参数 的 含义 如 下 。 

user: 指定 更 改 权 限 的 用 户 对 象 ， 分 为 4 种 类 型 u(user， 文 件 的 所 有 者 )、g(group， 文 
件 所 有 者 所 在 的 组 )、o(other， 其 他 用 户 )、a(all， 包 含 了 上 述 3 种 用 户 )。 

Mode: 对 指定 用 户 的 权限 进行 修改 。 可 以 在 指定 用 户 名 后 面 使 用 、+w、+x 来 增加 用 
户 的 权限 ， 也 可 以 使 用 -r、-w、-x 来 减 小 用 户 的 权限 ， 使 用 =、=w、=x 来 指定 用 户 的 权限 。 

filename: 操作 文件 后 的 目录 名 称 。 

-R: 递归 修改 子 目录 的 文件 。 

例如 : 

chmod utw atrx test: 表示 对 目录 test 设 定 成 任何 人 都 增加 可 读 、 可 执行 的 权限 ， 但 只 
有 文件 的 所 有 者 增加 可 写 入 的 权限 。 

chmod u=rwx go-rxw test1: 表示 对 于 文件 testL， 对 所 有 者 赋予 可 读 、 可 写 、 可 执行 的 
权限 ， 组 中 的 其 他 用 户 和 其 他 组 的 用 户 取消 所 有 权限 。 

chmod utx test2: 对 于 文件 test2， 增 加 所 有 者 可 执行 的 权限 。 

chmod g-x test2: 对 于 文件 test2， 取 消 组 中 其 他 用 户 的 可 执行 权限 。 

chmod 0+r test2: 对 于 文件 test2， 增 加 其 他 组 用 户 的 读 的 权限 。 
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(2) 使 用 chown 命令 更 改 文件 或 目录 的 用 户 所 有 权 。 其 格式 如 下 。 


chown [-R]user filename 


例如 : 

chown userl test1: 将 文件 testl 的 用 户 改 为 userl 。 

chown -R userl test: 将 目录 test 及 其 子 目 录 下 面 的 所 有 文件 的 用 户 改 为 userl。 
(3) 使 用 命令 chgrp 更 改 文件 或 目录 工作 组 的 所 有 权 。 其 格式 如 下 。 


chgrp [-R] groupname filename 


例如 : 

chgrp workgroup testl: 将 文件 testl 的 工作 组 所 有 权 改 为 workgruop 工作 组 。 

chgrp -R map test: 将 目录 test 及 其 子 目 录 下 面 的 所 有 文件 工作 组 所 有 权 改 为 map 工 
作 组 。 


4.2.3 文件 备份 命令 


在 Linux 系统 中 有 许多 文件 归档 和 备份 的 方法 ， 包 括 dump、cpio 和 tar。 其 中 tar 命令 
是 用 户 使 用 最 多 的 备份 和 恢复 命令 ， 使 用 时 生成 具有 .tar 扩展 名 的 文件 ， 当 与 gzip 结合 
于 数据 压缩 时 ， 生 成 的 文件 扩展 名 可 能 是 .tgz、.tar.gz; 当 与 compress 结合 用 于 数据 压缩 
时 ， 生 成 的 文件 扩展 名 则 是 .tar.Z。 

1. 使 用 方法 和 参数 

tar 命令 的 格式 如 下 。 

tar [ 主 选 项 + 辅 选项 ] 文件 或 者 目录 

主 选项 (运行 tar 时 必须 要 有 下 列 参数 中 的 至 少 一 个 才 可 运行 ) 参 数 如 下 。 

-a, --catenate, --concatenate: 将 一 存档 与 已 有 的 存档 合 

-c, --Create: 建立 新 的 存档 。 

-d, --diff, --compare: 比较 存档 与 当前 文件 的 不 同 之 处 。 

--delete: 从 存档 中 删除 。 

- --append: 附加 到 存档 结尾 。 

-t, --list: 列 出 存档 中 文件 的 目录 。 

-u, --update: 仅 将 较 新 的 文件 附加 到 存档 中 。 

-X, --extract, --get: 从 存档 展开 文件 。 


和 通 注意 : ”在 上 述 参数 中 ，c、x、t 仅 能 存在 一 个 ， 不 可 同时 存在 。 因 为 不 可 能 同时 压 
缩 与 解压 缩 。 


辅 选 项 参数 如 下 。 
--atime-preserve: 不 改变 转 储 文件 的 存 取 时 间 。 
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-b, --block-size N: 指定 块 大 小 为 NX512B( 默 认 时 ，N=20)。 

-B, --read-full-blocks: 读 取 时 重组 块 。 

-C, --directory DIR: 转 到 指定 的 目录 ， 展 开 .tar 文件 到 指定 的 DIR 目录 。 
--checkpoint: 读 取 存 档 时 显示 目录 名 。 

节 --file [HOSTNAME:]F: 指定 存档 或 设备 (默认 为 /dev/rmt0)。 
--force-local: 强制 使 用 本 地 存档 ， 即 使 存在 复制 。 

下, --info-scriptF --new-volume-scriptF: 在 每 个 磁盘 结尾 使 用 脚本 FF ( 隐 含 -M)。 
-G, --incremental: 建立 旧 GNU 格式 的 备份 。 

-g, --listed-incremental F: 建立 新 GNU 格式 的 备份 。 

-h, --dereference: 不 转 储 动态 链接 ， 转 储 动态 链接 指向 的 文件 。 

-i, --ignore-zeros: 忽略 存档 中 的 0 字 节 块 (通常 意味 着 文件 结束 )。 
--ignore-failed-read: 在 不 可 读 文件 中 作 0 标记 后 再 退出 。 

-kk --keep-old-files: 保存 现 有 文件 ， 从 存档 中 展开 时 不 进行 覆盖 。 
-KK, --starting-file F: 从 存档 文件 F 开始 。 

-], --one-file-system: 在 本 地 文件 系统 中 创建 存档 。 

-L, --tape-length N: 在 写 入 NX1024B 后 暂停 ， 等 待 更 换 磁盘 。 

-m, --modification-time: 当 从 一 个 档案 中 恢复 文件 时 ， 不 使 用 新 的 时 间 标 签 。 
-M, --multi-volume: 建立 多 卷 存 档 ， 以 便 在 几 个 磁盘 中 存放 。 

-N, --after-date DATE, --newer DATE: 仅 存 储 时 间 较 新 的 文件 。 

-0, --old-archive, --portability: 以 V7 格式 存档 ， 不 用 ANSI 格式 。 
-0, --to-stdout: 将 文件 展开 到 标准 输出 。 

-p, --same-permissions, --preserve-permissions: 展开 所 有 保护 信息 。 
-P, --absolute-paths: 不 从 文件 名 中 去 除 “/”。 

--preserve: 与 -p -s 相似 。 

-R, --record-number: 显示 信息 时 同时 显示 存档 中 的 记录 数 。 
--remove-files: 建立 存档 后 删除 源 文件 。 

--same-owner: 展开 以 后 使 所 有 文件 属于 同一 所 有 者 。 

-S, --sparse: 高 效 处 理 。 

-T, --files-from F: 从 文件 中 得 到 要 展开 或 要 创建 的 文件 名 。 

--null: 读 取 空 结束 的 文件 名 ， 使 -C 失效 。 

--totals: 显示 用 --create 参数 写 入 的 总 字 节 数 。 

-V, --Verbose: 详细 显示 处 理 的 文件 。 

-V, --label NAME: 为 存档 指定 卷 标 。 

--version: 显示 tar 程序 的 版 本 号 。 

-w, --interactive, --confirmation: 每 个 操作 都 要 求 确认 。 

-W, --verify: 写 入 存档 后 进行 校 验 。 
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--exclude FILE: 不 把 指定 文件 包含 在 内 。 

-X, --exclude-from FILE: 从 指定 文件 中 读 入 不 想 包 含 的 文件 列表 。 

jj, --bzip2, --bunzip2: 用 bzip2 对 存档 压缩 或 解压 。 

-Z, --compress, --uncompress: 用 compress 对 存档 压缩 或 解压 。 

-z, --gzip, --ungzip: 用 gzip 对 存档 压缩 或 解压 。 

--use-compress-program PROG: 用 PROG 对 存档 压缩 或 解压 (PROG 需 能 接受 -d 参数 )。 
--block-compress: 为 便于 磁盘 存储 ， 按 块 记录 存档 。 

-[0-7][Imh] : 指定 驱动 器 和 密度 (高 、 中 、 低 )。 


2. 使 用 tar 命令 进行 备份 


对 于 Linux 系统 中 需要 备份 的 文件 和 目录 ，tar 命令 可 以 将 其 打包 到 一 个 文件 中 进行 备 
这 个 功能 称 为 文件 和 目录 的 归档 。 
tar 命令 与 cf 选项 配合 使 用 建立 文件 和 目录 的 归档 ， 需 要 备份 的 文件 或 目录 归档 到 指 


定 的 文件 。 为 了 明确 文件 类 型 ， 归 档 文件 通常 以 .tar 作为 扩展 名 。 举 例如 下 。 


[root@localhost dai]# cd /mnt/LVM/ 


// 查 看 当前 目录 文件 

[root@localhost LVM]# 1s -1 

// 总 用 量 为 27 

P= 1 root root 7168 2 月 13 17:26 aquota.group 
PW = 1 root root 7168 2 月 13 17:44 aquota.user 
drwxrwxrwx 2 dai root 1024 2 月 13 17:26 dai 
PM 2 root root 12288 2 月 13 16:16 lost+found 


// 把 dai 文件 夹 归档 到 dai .tar 中 

[root@localhost LVM]# tar -cf dai.tar dai 
[root@localhost LVM]# 1s 

aquota.group aquota.user dai dai.tar lost+found 


3. 对 文件 目录 进行 压缩 备份 
tar 命令 与 czf 参数 配合 使 用 建立 文件 或 目录 的 压缩 归档 ， 需 要 备份 的 文件 或 目录 归档 


到 指定 的 文件 ，c 表示 创建 归档 文件 ，z 表示 对 归档 文件 进行 压缩 ，f 后 面 指定 压缩 归档 的 
文件 名 。 对 归档 文件 进行 压缩 保存 ， 可 以 有 效 地 节省 磁盘 空间 。 为 了 明确 文件 类 型 ， 压 缩 
文档 通常 以 tar.gz 结尾 。 举 例如 下 。 


// 归 档 前 查看 
[root@localhost LVM]# ls 
aquota.group aquota.user dai dai.tar lost+found 
// 把 dai 文件 夹 归 档 并 压缩 到 文件 dai .tar.gz 中 
[root@localhost LVM]# tar czf dai.tar.gz dai 
// 归 档 完成 后 查看 
[root@localhost LVM]# ls 
aquota.group aquota.user dai dai.tar dai.tar.gz lost+found 
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4. 查看 归档 中 的 文件 列表 

对 于 某 些 归档 文件 用 户 并 不 了 解 其 中 包含 哪些 文件 ， 所 以 在 恢复 归档 文件 之 前 能 够 查 
看 归档 文件 中 的 文件 和 目录 列表 是 非常 重要 的 ，tar 命令 配合 相应 的 参数 可 以 实现 查看 归档 
文件 目录 列表 的 功能 。 

1) 查看 tar 归档 文件 中 的 目录 列表 

tar 命令 与 参数 配合 使 用 可 查看 归档 文件 中 的 文件 列表 ，t 表示 查看 归档 文件 中 的 文 
件 和 目录 列表 , f 后 面 指定 要 查看 的 归档 文件 名 。 举 例如 下 。 


[root@localhost LVM]# tar -tf dai.tar 
dai/ 

dai/filel 

dai/file2 

dai/file3 

dai/file5 

dai/file6 

[root@localhost LVM]# 


2) 查看 压缩 归档 文件 中 的 目录 列表 

tar 命令 与 tzf 参数 配合 使 用 可 查看 压缩 文件 中 的 文件 列表 ，t 表示 查看 归档 文件 中 的 文 
件 和 目录 列表 ，z 表示 要 查看 的 是 压缩 归档 文件 ，f 后 面 指定 要 查看 的 压缩 归档 文件 名 。 举 
例如 下 。 

[root@localhost LVM]# tar -tzf dai.tar.gz 

dai/ 

dai/filel 

dai/file2 

dai/file3 

dai/file5 


dai/file6 
[root@localhost LVM]# 


5. 使 用 tar 命令 恢复 归档 文件 
文件 备份 的 最 终 目的 是 在 需要 的 时 候 可 以 进行 文件 的 恢复 ，tar 命令 可 以 对 自己 建立 的 
归档 文件 进行 恢复 。 


1) 恢复 tar 备份 文件 
tar 命令 与 xf 参数 配合 使 用 可 恢复 归档 文件 中 的 目录 和 文件 ，x 表示 释放 归档 文件 ，f 


面 指定 要 恢复 的 归档 文件 名 。 举 例如 下 。 
[root@localhost LVM]# tar xf dai.tar 


2) 恢复 压缩 的 tar 备份 文件 
tar 命令 与 zxvf 参数 配合 使 用 恢复 压缩 的 归档 文件 ，z 表示 要 释放 的 压缩 归档 文件 ，x 


序 
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表示 释放 归档 文件 ，v 显示 处 理 过 程 ，f 后面 指定 要 恢复 的 压缩 文件 的 文件 名 。 举 例如 下 。 
[root@localhost ~]# tar -zxvf dai.tar.gz 
dai/ 
dai/filel 
dai/file2 
dai/file3 
dai/file5 
dai/file6 
[root@localhost ~]# ls 
5 anaconda-ks.cfg dai dai.tar.gz Desktop install.log 
install.log.syslog 
[root@localhost ~]# 


4.3 用 户 管理 命令 


Linux 系统 是 多 用 户 的 操作 系统 ， 人 允许 多 用 户 同时 从 本 地 或 远程 登录 到 主机 上 工作 。 
这 些 用 户 分 别 属 于 一 些 用 户 组 ， 他 们 被 单独 或 以 组 为 单位 授予 不 同 的 权限 ， 能 够 在 主机 中 
执行 程序 、 修 改 文件 、 申 请 系统 资源 等 。 为 了 保证 他 们 正常 工作 并 且 不 影响 系统 和 其 他 用 
户 的 操作 ， 必 须 对 他 们 进行 管理 。 


4.3.1 ”用户 账号 管理 


Linux 是 一 个 多 任务 多 用 户 的 操作 系统 ， 因 此 可 以 满足 多 用 户 需要 。 对 于 每 一 个 用 户 给 
定 一 个 单独 的 用 户 名 ， 这 个 用 于 登录 到 系统 的 用 户 名 就 是 账户 ， 大 多 数 账户 都 设 有 口令 。 

每 个 账户 在 主机 上 都 有 自己 的 文件 ， 这 些 文件 可 能 是 保密 的 ， 不 能 让 其 他 用 户 读 写 
因此 系统 管理 员 必须 让 每 个 用 户 有 权限 管理 自己 的 文件 ， 并 且 不 经 允许 不 能 操作 其 他 人 的 
文件 。Linux 系统 管理 员工 作 包 括 建 立 账 户 、 删 除 账 户 、 修 改 密码 、 分 配 用 户 子 目录 、 为 
用 户 指定 初始 的 Shell， 根 据 需要 设 定 每 个 用 户 所 能 够 使 用 的 磁盘 空间 、 内 存 及 进程 数 等 。 

1. 添加 用 户 

每 个 用 户 需要 有 自己 的 账户 才能 进入 系统 ， 所 以 添加 账户 是 最 常见 的 用 户 管理 操作 。 

使 用 useradd 添加 用 户 ， 该 命令 参数 比较 多 ， 如 果 不 指定 ， 则 按 默 认 值 处 理 ， 如 图 4-20 
所 示 。 

各 参数 的 含义 如 下 。 

-b: 新 账号 的 目录 。 

-c: 新 账号 的 说 明 栏 。 

-d: 指定 用 户主 目录 。 

-e: 账号 终止 日 期 。 日 期 的 指定 格式 为 MM/DD/YY。 

了 下， 账号 过 期 几 日 后 永久 停 权 。 当 值 为 0 时 ， 账 号 立刻 停 权 ， 而 当 值 为 -1 时 ， 则 关闭 
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此 功能 ， 预 设 值 为 -1。 
-g: group 名 称 或 以 数字 来 作为 使 用 者 登录 起 始 群 。 


calhost “]# useradd 
‘seradd [options] LOGIN 


ent COMMENT 
HOME_DIR 


redate EXPIRE DATE st 
NACTIVE 


4-20 ”useradd 帮助 文件 


群 组 名 须 为 现 有 存在 的 名 称 ， 群 组 数字 也 须 为 现 有 存在 的 群 组 ， 预 设 的 群 组 数字 为 
1。 各 参数 的 含义 如 下 。 

-G: 定义 此 使 用 者 为 groups 的 成 员 。 每 个 群 组 使 用 区 格 开 ， 不 可 以 夹杂 空白 字 元 。 和 群 
组 名 同 -g 选项 限制 。 定 义 值 为 使 用 者 的 起 始 群 组 。 

-m: 如 果 用 户 的 主 目录 不 存在 就 建立 一 个 。 

-M: 不 建立 使 用 者 目录 。 

-n: 预 设 值 使 用 者 群 组 与 使 用 者 名 称 相 同 。 此 选项 将 取消 此 预 设 值 。 

-u: 用 户 的 ID 值 。 必 须 为 唯一 的 ID 值 ， 除 非 用 -o 选项 。 

注意 : 数字 不 可 为 负 值 。 预 设 值 最 小 不 得 小 于 99 且 逐 次 增加 ，0 一 99 之 间 的 数字 传统 
上 保留 给 系统 账号 使 用 。 

-s: 使 用 者 登录 后 使 用 的 Shell 名 称 。 之 后 新 加 入 的 账号 将 使 用 此 Shell。 

如 果 没 有 指定 上 述 参数 ， 则 useradd 将 会 使 用 /etc/login.defs 文件 中 设置 的 值 。 

例如 : 添加 一 个 名 为 tom 的 账户 ， 设 置 起 始 目录 /home/tom。 


[root@loacalhost root]#useradd tom 


这 时 可 以 看 到 ， 在 /etc/passwd 文件 最 后 一 行 ， 新 创建 的 tom 用 户 的 信息 已 经 成 功 写 入 
该 文件 中 了 ， 如 图 4-21 所 示 。 


c7passwd Terep tom 


n/bash 


图 4-21 passwd 文件 中 tom 用 户 的 信息 


useradd 命令 不 能 为 用 户 设置 口令 ， 必 须 使 用 passwd 为 用 户 设置 口令 后 ， 才 能 正式 使 
用 该 用 户 。 
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2. 为 用 户 设置 口令 


使 用 useradd 建立 用 户 后 ， 并 没有 为 该 用 户 设置 登录 密码 ， 因 而 创建 用 户 后 要 立即 为 
该 用 户 设置 密码 ， 以 免 有 非法 入 侵 对 系统 造成 破坏 。 

无 论 对 于 系统 还 是 用 户 ， 口 令 都 是 一 个 非常 重要 的 事 ， 一 般 一 个 好 的 口令 不 容易 被 他 
人 和 破解， 设置 口令 要 注意 以 下 几 点 。 

(1) 口令 应 该 包括 大 、 小 写字 母 、 数 字 、 特 殊 符 号 。 

(2) 口令 应 尽 可 能 长 ， 每 加 一 位 均 会 降低 破解 机 会 。 

G) 在 网 络 上 传递 口令 要 加 密 。 

(4) 应 该 经 常 更 换 口 令 。 

设置 口令 的 命令 是 passwd， 只 有 超级 用 户 才能 使 用 该 命令 ， 这 个 命令 将 在 子 目录 /etc 
中 的 passwd 文本 数据 库 中 生成 默认 的 x 数据 项 ， 真 正 的 口令 会 经 过 加 密 保存 在 /etc/shadow 
文件 中 ， 只 有 root 用 户 才能 察看 shadow 文件 。tom 设置 密码 的 变化 如 图 4-22 所 示 。 


二 cat Jetc/passwd [Erep tom 


at /et 
/home/tom: /bin/bash 


图 4-22 passwd 文件 中 tom 用 户 的 信息 


图 4-22 中 相关 项 的 含义 如 下 。 

tom: 用 户 名 。 

x: 命令 (这 里 x 是 命令 的 一 个 占 位 符 ， 真 正 的 命令 保存 在 /etc/shadow 文件 中 )。 

501: 用 户 了 D 号 。 

501: 组 ID 号 。 

/home/tom: 用 户 的 主 目录 。 

/bin/bash: 用 户 所 使 用 的 Shell。 

图 4-22 已 经 建立 了 账户 ttm， 但 是 还 没有 设置 口令 ， 在 /etc/shadow 口令 文件 中 的 对 应 
内 容 如 图 4-23 所 示 。 


/etc/shadow |grep tom 


图 4-23 tom 还 没有 设置 口令 
如 果 要 为 tom 账户 设置 口令 ， 可 以 使 用 命令 passwd 后 面 跟 上 用 户 名 ， 如 图 4-24 所 示 。 


新 的 口令 会 被 记录 到 /etc/shadow 文件 中 ， 如 图 4-25 所 示 ， 读 者 可 以 用 图 4-25 和 图 4-23 
作 比 较 ， 查 看 设置 口令 前 后 shadow 文件 的 变化 。 


in enough DIFFERENT characters 


okens updated successfully. 
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t ~] cat /etc/shadow |grep tom 
JNFCOZGG2XIxg .RYxxC/: 14066:0:99999:7::: 


4-25 设置 密码 后 tom 账户 的 密码 记录 到 shadow 中 


建立 新 用 户 的 第 一 步 是 执行 保存 在 /usr/sbin 子 目 录 中 的 useradd 命令 ， 必 须 是 超级 用 户 
Toot 才能 运行 ， 如 果 是 普通 用 户 会 报错 。 


3. 删除 用 户 
删除 用 户 和 添加 用 户 是 相对 的 ， 可 以 使 用 userdel 命令 来 删除 用 户 。 命 令 十 分 简单 ， 格 
式 如 下 。 


[root@loacalhost root]#userdel tom 
可 以 加 一 个 参数 -r 将 用 户 的 起 始 目 录 及 包含 的 文件 全 部 删除 ， 如 下 所 示 。 


[root@loacalhost root]#userdel -r tom 


4.3.2 用 户 组 管理 


每 个 用 户 都 属于 特定 的 用 户 组 ， 用 户 组 是 一 些 具有 相同 属性 的 用 户 合集 。Linux 是 多 
用 户 操 作 系统 ， 它 根据 各 个 用 户 所 做 的 工作 需要 ， 将 他 们 分 为 不 同 的 组 ， 一 个 用 户 至 少 属 
于 一 个 组 ， 同 时 还 可 以 属于 其 他 组 。 

1. 添加 用 户 组 

使 用 命令 groupadd 添加 用 户 组 。 其 格式 如 下 。 

groupadd [-g gid] [ -o][-r][-f] 组 名 


各 参数 的 含义 如 下 。 

-g gid: 指定 新 建 组 的 gid 号 ， 新 建 的 用 户 组 gid 号 应 大 于 500 且 不 能 和 已 经 存在 的 组 
gid 号 重复 ， 保 留 0 至 499 位 系统 用 户 组 。 

-0: 此 选项 和 -g 选项 一 起 使 用 ， 如 果 使 用 该 选项 ， 则 允许 使 用 相同 的 组 标识 。 

-r: 添加 一 个 系统 用 户 ， 使 用 组 标识 符 应 小 于 499。 

-f: 此 为 一 个 强制 选项 ， 当 用 户 试图 建立 一 个 已 经 存在 的 组 时 ，groupadd 将 会 终止 并 
返回 错误 信息 ， 如 果 使 用 该 项 ， 就 不 会 返回 错误 信息 。 
2. 为 用 户 组 设置 口令 
当 为 新 用 户 设置 口令 时 ， 可 以 使 用 passwd 命令 。 如 果 在 为 用 户 组 设置 口令 时 没有 现 
成 的 命令 ， 则 需要 进行 一 些 操作 ， 但 是 还 需要 使 用 passwd 命令 。 具 体 设置 步骤 如 下 。 

(1) 添加 一 个 新 的 用 户 ， 假 设 名 为 tom。 


[root@loacalhost root]#useradd tom 
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(2) 为 账户 添加 口令 。 


[root@loacalhost root]#passwd tom 


(3) 将 /etc/passwd 文件 中 tom 账户 的 条 目 复制 到 /etc/group 中 ， 在 /etc/shadow 中 查找 


"tom" 字 符 串 所 对 应 的 加 密 口令 ， 并 将 其 复制 到 /etc/shadow 文件 中 需要 口令 的 用 户 组 的 第 二 
个 域 中 ， 这 样 即 可 设置 好 口令 。 为 用 户 组 设置 口令 只 作 简单 介绍 ， 在 实际 应 用 中 很 少 会 对 
用 户 组 设置 权限 。 


3. 删除 用 户 组 
删除 用 户 组 的 命令 很 简单 ， 使 用 groupdel 命令 格式 ， 如 下 所 示 。 


[root@loacalhost root]#groupdel tom 


目录 。 


本 章 习 题 
一 、 填 空 题 
1. 一 般 Linux 命令 分 为 、 两 大 类 。 
2. 查看 当前 用 户 所 在 位 置 的 命令 是 
3. 建立 目录 的 命令 是 ， 进 入 目录 的 命令 是 局 
4. 如 果 工 作 目 录 是 /root， 查 看 /home/test 文件 的 命令 是 
5.Linux 下 的 复制 命令 是 ， 剪 切 命令 是 5 
6. Linux 下 用 得 最 多 的 文件 备份 命令 是 
7. 如 果 用 useradd 建立 一 个 名 为 marry 的 用 户 ， 用 参数 可 以 指定 其 用 户 的 主 
8. 建立 组 的 命令 是 : 
二 、 问 答题 


1. 说 出 常用 的 几 个 帮助 命令 。 

2. man 命令 由 几 部 分 组 成 ， 分 别 是 什么 ? 

3. 命令 mount-t ext3 /dev/sddl /mnt/dever 的 意思 是 什么 ? 

4. 如 果 在 fstab 文件 中 添加 /dev/sddl /mnt/dever ext3 defaults 00， 这 一 行 的 意思 是 什么 ? 
5. 卷 标 挂 载 的 目的 是 什么 ? 

6. 在 Linux 下 查找 一 个 文件 why， 使 用 find 的 完整 命令 是 什么 ? 使 用 find 命令 查找 当 


前 目录 下 以 .txt 结尾 的 文件 ， 完 整 的 命令 是 什么 ? 


7. 使 用 1s-1 命 令 显 示 -rw-r--r- root root 142 11-4 19:30 test， 这 条 命令 限制 test 文件 的 权 


限 是 什么 ? 其 他 显示 的 信息 是 什么 ? 


8. 命令 Chmod u=rwx go-rxw testl 的 意思 是 什么 ? 
9. 对 tom 目录 下 的 所 有 文件 进行 归档 并 压缩 ， 使 用 的 命令 是 什么 ? 
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10. 在 passwd 文件 中 显示 了 一 条 内 容 jerry :x :502 :502 ::/home/jerry:/bin/bash， 它 的 意思 
是 什么 ? 

三 、 上 机 实 训 

实 训 目 的 

(1) 掌握 Linux 各 类 命令 的 使 用 方法 。 

(2) 熟悉 Linux 的 操作 环境 。 

实 训 内 容 

练习 使 用 Linux 的 常用 命令 ， 达 到 熟练 应 用 的 目的 。 

实 训 步骤 

利用 root 用 户 登 录 到 系统 ， 进 入 字符 界面 。 

(1) 用 pwd 命令 查看 当前 所 在 目录 。 

(2) 用 ls 命令 列 出 此 目录 下 的 文件 和 目录 。 

(3) 用 -a 选项 列 出 此 目录 下 包括 隐藏 文件 在 内 的 所 有 文件 和 目录 。 

(4) 用 man 命令 查看 ls 命令 的 使 用 手册 。 

(5) 在 当前 目录 下 ， 创 建 测试 目录 test， 代 码 如 下 。 


mkdir test 


(6) 利用 ls 命令 列 出 文件 和 目录 ， 确 认 test 目录 创建 成 功 。 

(7) 进入 test 目录 ， 利 用 pwd 查看 当前 工作 目录 (cd /root/test pwd)。 

(8) 利用 touch 命令 ， 在 当前 目录 创建 一 个 新 的 空 文件 newfile(touch newfile)。 
(9) 利用 cp 命令 复制 系统 文件 /etc/profile 到 当前 目录 下 ， 代 码 如 下 。 

cp /etc/profile /root/test 

(10) 复制 文件 profile 到 一 个 新 的 文件 profile.bak 作为 备份 ， 代 码 如 下 。 


cp /etc/profile profile.bak 


(11) 用 1 命令 以 长 格 的 形式 列 出 当前 目录 下 的 所 有 文件 ， 注 意 比较 每 个 文件 的 长 度 和 
创建 时 间 的 不 同 。 

(12) 用 less 命令 分 屏 查 看 文件 profile 的 内 容 ， 注 意 练习 less 命令 的 各 个 子 命令 ， 如 
b、p、q 等 ， 并 对 then 关键 字 进 行 查找 (命令 为 less /etc/profile)。 

(13) 用 grep 命令 在 profile 文件 中 对 关键 字 then 进行 查询 ， 并 与 上 面 的 结果 进行 比 
较 。 代 码 如 下 。 

grep then /etc/profle 


(14) 给 文件 profile 创建 一 个 软 连 接 Insprofile 和 一 个 硬 链 接 Inhprofile， 代 码 如 下 。 


ln -s profile lnsprofile // 创 建 软 连接 
ln profile lnhprofile // 创 建 硬 链 接 
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学 习 目 的 与 要 求 : 


本 章 将 学 习 Linux 下 的 软件 包 的 管理 及 Linux 下 的 启动 级 别 。 要 求 用 户 熟 悉 每 个 启动 
级 别 ， 而 且 要 求 用 户 能 够 熟练 地 管理 Linux 的 进程 。 

通过 对 本 章 的 学 习 ， 用 户 应 做 到 以 下 几 点 。 

@ 。 热 练 使 用 RPM 命令 对 软件 进行 安装 、 趣 载 、 升 级 、 查 询 。 

@ ”熟悉 Linux 下 的 各 个 启动 级 别 ， 热 悉 如 何 改变 Linux 的 各 个 级 别 。 

@ 熟练 使 用 命令 对 Linux 的 进程 进行 管理 。 

@ ”熟练 使 用 调度 命令 对 Linux 的 进程 进行 管理 。 
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5.1 RPM 包 管理 


RPM 是 Red Hat Package Manager 的 缩写 ， 即 Red Hat( 红 帽 ) 软 件 包 管理 器 。 它 是 一 个 开 
放 的 软件 包 管理 系统 ， 工 作 在 Red Hat Linux 及 其 他 Linux 及 Unix 系统 上 。RPM 可 以 为 用 
户 提 供 软件 的 安装 、 印 载 、 升 级 和 查询 等 操作 ， 并 向 程序 员 提 供 制作 二 进 制 代 码 和 源 代码 
软件 安装 包 的 方法 。RPM 的 发 布 基于 GPL 协议 (GNU General Public License) 的 系统 使 用 。 

在 操作 系统 中 除了 内 核 以 外 还 包括 大 量 的 其 他 应 用 程序 。 它 们 由 不 同 的 软件 开发 团体 
开发 ， 可 独立 或 合作 完成 不 同 的 任务 ， 并 且 它 们 经 常 被 开发 人 员 使 用 ， 因 而 对 于 这 些 软 件 
安装 、 卸 载 和 互相 之 间 的 依赖 关系 的 解决 就 显得 非常 重要 。 

在 早期 的 Linux 版 本 中 ， 应 用 程序 的 安装 主要 采取 源 代码 包 编译 安装 的 方式 ， 这 是 一 
种 比较 复杂 和 相对 灵活 的 安装 方式 。 它 要 求 安装 人 员 有 较 高 的 系统 管理 知识 和 软件 开发 技 
能 ， 能 够 对 系统 的 环境 进行 相关 的 设置 ， 熟 练 使 用 编译 工具 ， 并 且 手 动 解决 软件 包 之 间 的 
依赖 关系 等 。 遗 憾 的 是 大 多 数 希望 使 用 Linux 的 用 户 不 一 定 是 这 方面 的 专家 ， 因 而 他 们 迫 
切 需要 一 个 能 够 简化 这 些 安装 步骤 的 方法 ， 于 是 最 初 的 Debian Linux 发 行 版 本 提供 了 软件 
包 管 理 的 概念 ， 并 提供 了 dpak 工具 进行 软件 包 的 安装 和 务 载 的 管理 ， 最 后 发 展 为 
APT(Advanced Package Tool) 高 级 软件 包工 具 ， 接 着 Red Hat 公司 在 Red Hat Linux 发 行 版 
本 中 使 用 了 RPM 包 管 理工 具 。 

这 些 软 件 包 管理 工具 的 作用 就 是 ， 对 应 用 程序 的 安装 、 调 试 、 查 询 进 行 管理 ， 使 普通 
用 户 能 够 简单 地 对 软件 包 进行 上 述 操作 ， 同 时 为 高 级 用 户 提供 了 一 个 方便 的 制作 软件 包 的 

台 ， 使 他 们 能 够 以 标准 方式 生成 应 用 程序 的 安装 软件 包 ， 并 能 够 在 采用 这 个 管理 系统 的 

任意 操作 系统 上 安装 软件 。 软 件 包 的 内 容 并 不 简单 由 上 面 介绍 的 应 用 程序 组 成 ， 它 还 包括 
应 用 程序 的 安装 信息 和 软件 的 简单 说 明 ， 如 应 用 程序 中 的 文件 应 该 驻 留 在 系统 中 的 什么 地 
方 ， 软 件 包 的 内 容 依赖 哪些 库 或 者 哪些 程序 ， 以 及 安装 指令 和 安装 完成 后 的 基础 配置 脚本 
等 。 软 件 包 通常 包含 已 经 编译 完成 的 可 执行 二 进 制 文 件 ， 但 同样 可 以 打包 源 代 码 ， 并 且 提 
供 从 源 代码 软件 包 转 换 为 二 进 制 包 的 方便 操作 ， 从 而 给 予 软件 用 户 更 多 的 定制 功能 。 


1. APT 软件 包 管 理 


APT 软件 包 管 理 系统 主要 适用 于 Debian Linux 发 行 版 本 。 它 管理 的 软件 包 都 遵循 一 定 
的 命名 约定 ， 软 件 包 都 具有 符合 以 下 格式 的 文件 名 。 


Pacakagename version arch.deb 


各 参数 的 含义 如 下 。 

Packagename: 软件 包 的 名 称 。 

version: 软件 包 版 本 的 修订 号 。 

arch : 软件 包 的 体系 结构 ， 如 i386、sparc、alpha 等 。 
所 有 deb 软件 包 由 3 个 基本 部 分 组 成 。 
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@ ”一 个 名 为 debian-binary 的 文本 文件 。 

@ 一 个 名 为 controltar.gz 的 压缩 tar 包 。 

@ 一 个 名 为 data.tar.gz 的 压缩 tar 包 。 

debian-binary 文本 文件 包含 二 进 制 软件 包 的 版 本 号 ，controltar.gz 文件 包 包含 控制 文 
件 、postinst 文件 和 prerm 文件 等 。 其 中 ，postinst 文件 是 在 该 软件 包 安 装 后 自动 加 载运 行 
的 指令 ， 而 prerm 文件 则 包含 删除 指令 。controltar.gz 可 能 还 包含 另外 两 个 文件 ， 一 个 文 
件 为 conffiles， 该 文件 包含 有 关 软 件 包 配 置 文件 的 信息 ; 另 一 个 为 md5sums， 该 文件 包含 
了 软件 包 的 md5 校 验 码 。datatar.gz 包含 软件 包 的 实际 应 用 程序 文件 ， 这 些 文件 在 安装 时 
会 放 到 文件 系统 中 的 适当 位 置 。 

APT 提供 了 方便 易 用 的 软件 包 安 装 管理 功能 ， 使 用 户 能 够 在 发 现 软 件 包 依 赖 性 的 同时 
自动 下 载 相应 的 软件 包 并 加 以 安装 ， 使 得 管理 员 能 毫 无 顾忌 地 执行 软件 的 升级 。 许 多 时 候 
当 用 户 的 软件 安装 对 系统 其 他 部 分 产生 不 良 影响 时 ，APT 的 一 个 改进 能 够 让 软件 包 安 装 保 
持 正确 。 

APT 使 用 一 个 私有 数据 库 ， 跟 踪 /etc/apt/sources.list 列表 中 软件 包 的 当前 状态 (是 已 安装 
还 是 未 安装 或 可 安装 )， 工 具 程序 apt-get 通过 该 数据 库 来 确定 如 何 安装 用 户 想 用 的 软件 
包 ， 以 及 正常 运行 软件 包 所 必需 的 其 他 关联 包 。 

(1) 使 用 apt-get 安装 软件 包 的 方法 如 下 。 


# apt-get install allow 


其 中 allow 为 软件 包 ， 不 包括 版 本 号 以 后 部 分 的 包 名 ，APT 会 扫描 它 的 数据 库 ， 找 到 
最 新 版 本 的 软件 包 ， 并 将 它 从 sources.list 中 所 指 的 地 方 下 载 到 本 地 。 如 果 该 软件 包 需 要 其 
他 软件 包 才 能 正常 运行 ，APT 会 做 关联 性 检查 并 自动 安装 所 需要 的 软件 包 。 

(2) 使 用 apt-get 删除 软件 包 的 方法 如 下 。 


#apt-get -remove gnome-panel 

使 用 -remove 参数 即 可 删除 软件 包 ， 并 清除 与 软件 包 相 关 的 文件 。 

(3) 使 用 apt-get 更 新 软件 包 的 方法 如 下 。 

#apt-get -u upgrade 

只 需要 一 条 命令 就 可 以 完成 整个 系统 的 更 新 工作 。 

2. RPM 包 管 理 

RPM 名 称 的 本 意 是 Red Hat 软件 包 管理 ， 顾 名 思 义 是 Red Hat 贡献 出 来 的 软件 包 管理 
器 。 在 Fedora、RedHat、Mandriva、SUSE、YellowDog 等 主流 Linux 发 行 版 本 及 在 这 些 版 
本 基础 上 二 次 开发 出 来 的 发 行 版 本 均 可 使 用 。 

RPM 包 里 面包 含 可 执行 的 二 进 制程 序 ， 这 些 程序 和 Windows 的 软件 包 中 的 .exe 文件 
类 似 ， 是 一 个 可 执行 的 程序 ，RPM 包 中 还 包括 程序 运行 时 所 需要 的 文件 ， 这 也 和 
Windows 的 软件 包 类 似 ，Windows 程序 的 运行 除了 .exe 文件 以 外 ， 也 有 其 他 的 文件 。 一 个 
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RPM 包 中 的 应 用 程序 有 时 除了 自身 所 带 的 附加 文件 保证 其 正常 以 外 ， 还 需要 其 他 特定 版 本 
文件 ， 这 就 是 软件 包 的 依赖 关系 。 依 赖 关系 并 不 是 Linux 特有 的 ，Windows 操作 系统 中 也 
同样 存在 。 

RPM 包 管理 的 用 途 主要 体现 在 以 下 几 个 方面 。 

@ ”可 以 安装 、 删 除 、 升 级 和 管理 软件 ， 当 然 也 支持 在 线 安装 和 升级 软件 。 

”通过 RPM 包 管 理工 具 能 知道 软件 包 中 包含 哪些 文件 ， 也 能 知道 系统 中 的 某 个 文 
件 属于 哪个 软件 包 。 
[以 查询 系统 中 的 软件 包 是 否 已 经 安装 及 其 版 本 型 号 。 
开发 者 可 以 把 自己 的 程序 打包 为 RPM 包 发 布 。 
软件 包 签名 GPG 和 MD5 的 导入 、 验 证 和 签名 发 布 。 
依赖 性 的 检查 可 以 查看 是 否 有 软件 包 由 于 不 兼容 而 导致 系统 出 现 问题 。 

1) 软件 包 的 安装 

安装 RPM 软件 包 时 会 进行 一 系列 的 工作 ， 首 先 RPM 会 检查 软件 包 与 其 他 软件 包 之 间 
的 依赖 与 冲突 ， 执 行 软件 包 生成 时 设置 的 安装 脚本 (Sreinstal)， 对 原 有 的 同名 配置 文件 使 
用 改名 保存 (在 原文 件 的 文件 名 后 加 上 .orig 扩展 名 保存 以 便 恢 复 )， 然 后 解压 应 用 程序 软件 
包 ， 把 程序 文件 复制 到 设置 的 位 置 ， 执 行 设置 的 安装 后 脚本 程序 ， 更 新 RPM 数据 库 ， 再 
根据 具体 情况 决定 是 否 执行 安装 时 触发 (Triggerin)， 到 此 安装 结束 。 

当然 这 其 中 的 过 程 不 需要 用 户 干 涉 ，RPM 会 自动 完成 这 些 操作 。 

安装 软件 包 的 命令 格式 如 下 。 


RPM [-i ] [install-options] package file 


选项 -i 表明 RPM 执行 安装 操作 ，package file 是 安装 软件 包 的 名 称 。 
install-options 的 主要 选项 如 下 。 

--hash[h]: 安装 时 以 “#” 显 示 安 装 进度 ， 没 有 “#” 则 为 2%。 
--test: 测试 安装 ， 测 试 是 否 满足 依赖 关系 ， 是 否 存在 冲突 ， 不 是 真正 安装 。 
--percent: 以 百分比 的 形式 输出 安装 的 进度 。 

--excludedocs: 不 安装 软件 包 的 文档 文件 。 

--includedocs: 安装 文档 。 

--replacefiles: 替换 属于 其 他 软件 的 文件 。 

--Teplacepkgs: 强制 安装 。 

--force: 忽略 软件 包 及 文件 冲突 。 

--prefix<path>: 为 安装 的 软件 包 指定 安装 路 径 。 

--ignoreos: 不 检查 运行 软件 包 的 操作 系统 。 

--noscripts: 不 运行 预 安装 和 后 安装 脚本 。 

--ignorearch: 不 校 验 软件 包 的 结构 。 

--ignoresize: 不 检查 空间 大 小 。 


| 
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--nodeps: 不 检查 依赖 关系 。 

通用 选项 是 在 RPM 工具 的 任何 工作 状态 下 都 有 效 的 选项 ， 在 安装 、 钊 载 、 升 级 、 查 
询 操作 时 都 可 以 使 用 这 些 选项 。 通 用 选项 介绍 如 下 。 

-V: 显示 附加 信息 。 

-vv: 显示 调试 信息 。 

--Ioot<path>: 让 RPM 将 <path> 指 定 的 路 径 作为 “ 根 ” 路 径 ， 这 样 预 安装 程序 和 后 安 
装 程序 都 会 安装 到 这 个 目录 下 。 

--Icfile<rcfile>: 设置 资源 文件 为 <rcfile>，RPM 默认 资源 文件 为 /ust/lib/rpm/rpmre。 

使 用 命令 安装 一 个 软件 包 ， 如 图 5-1 所 示 。 


[rootelocalhost Server]s rpm —vih xorg-xll-drv-i810-devel-1.6.5-9.2.e15.1386.rp 


|warning: xorg-xll-drv-i810-devel-1 386.rpm: Header V3 DSA signature 


: NOKEY, 


:] 


5-1 RPM 软件 包 安 装 过 程 


2) 卸载 软件 包 

RPM 在 卸载 软件 包 时 主要 是 删除 安装 的 程序 文件 ， 但 是 它 首先 会 检查 程序 的 依赖 关 
系 ， 即 是 否 有 其 他 应 用 程序 需要 这 个 软件 包 的 文件 。 如 果 没 有 则 执行 卸载 前 的 脚本 程序 并 
检查 配置 文件 ， 如 果 有 ， 则 会 换 名 保存 后 再 删除 属于 这 个 软件 包 的 所 有 文件 ， 然 后 执行 印 
载 后 的 脚本 程序 ， 更 新 RPM 数据 库 ， 根 据 具体 情况 执行 和 卸 载 。 命 令 格式 如 下 。 


RPM {-e|l--erase} [erase--options] package file 


选项 -e 和 --erase 意思 相同 ， 表 明 RPM 正在 执行 卸载 任务 ，package file 为 需要 外 载 的 
文件 。 

erase--options 选项 主要 有 以 下 几 个 。 

--test: 执行 删除 测试 。 

--noscripts: 不 运行 安装 前 和 安装 后 的 脚本 程序 。 

--nodeps: 不 检查 依赖 性 。 

--justdb: 修改 数据 库 。 

--notriggers: 不 执行 触发 程序 。 

使 用 命令 卸载 一 个 软件 包 ， 如 图 5-2 所 示 。 


root@localhost etc]# rpm -e bind-sdb 


[root@localhost etc]# 


5-2 ”软件 包 印 载 


3) 查询 软件 包 信息 
利用 RPM 的 查询 功能 ， 用 户 可 以 方便 地 查询 系统 所 有 已 安装 和 没有 安装 的 软件 包 信 
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息 ， 也 可 以 查找 一 个 文件 属于 哪个 软件 包 等 ，RPM 提供 的 这 些 功能 都 能 够 通过 简单 的 命令 
来 获 到 ， 它 的 查询 格式 如 下 。 


RPM {-ql--query} [select-options] [query-options] 


选项 -q 和 --query 都 是 要 求 RPM 执行 查询 操作 。 
select-options 用 来 指定 本 次 查询 对 象 ， 各 选项 含义 如 下 。 
-p<file>: 查询 未 安装 的 软件 包 的 信息 。 

-f<file>: 查询 <file> 属 于 哪个 文件 包 。 

-a: 查询 所 有 安装 的 软件 包 。 

--triggeredby: 查询 有 哪些 包 被 指定 的 包 触发 。 
--whatprovides<x>: 查询 提供 了 <x> 功 能 的 软件 包 。 
-g<group>: 查询 属于 哪个 组 。 

-i: 显示 软件 包 的 概要 信息 。 

-1: 显示 软件 包 列 表 。 

-d: 显示 文档 文件 列表 。 

-c: 显示 配置 文件 列表 。 

例如 ， 使 用 下 面 的 命令 查询 bind 软件 包 信息 。 


#RPM -qi bind 


查询 软件 包 安 装 列表 ， 如 图 5-3 所 示 。 


5-3 ”软件 包 查 询 


4) 校 验 已 安装 的 软件 包 

当 使 用 RPM 安装 升级 或 卸载 软件 包 时 ，RPM 将 所 有 的 信息 都 记录 到 数据 库 。RPM 的 
校 验 就 是 比较 安装 的 文件 信息 和 数据 库 中 记载 的 信息 之 间 的 差别 ， 一 旦 发 现 某 个 软件 包 被 
破坏 (文件 丢失 )，RPM 就 会 报告 错误 ，RPM 通过 这 样 一 种 机 制 保证 系统 的 正常 运行 。 

RPM 除了 校 验 软件 包 的 依赖 关系 之 外 ， 还 校 验 每 个 文件 ， 检 查 其 属性 是 否 正 确 ， 属 性 
包括 属 主 、 属 组 、 权 限 、MD5 校 验 和 大 小 、 主 设备 号 、 从 设备 号 、 符 号 链接 及 最 后 修改 时 
间 等 内 容 ， 其 中 每 一 项 发 生变 化 RPM 都 会 发 现 。RPM 并 非 全 部 校 验 这 几 项 属性 ， 因 为 若 
文件 类 型 不 同 ， 其 中 某 些 属性 就 会 没有 意义 ， 因 而 RPM 也 不 会 去 检查 。 


第 5 章 “RPM 包 管理 系统 启动 和 运行 级 别 i 只 


RPM 校 验 中 如 果 没 有 错误 发 生 ， 则 不 会 有 任何 输出 ; 若 发 现 文件 丢失 ， 则 会 显示 丢失 
信息 missing 文件 名 ; 如 果 属 性 被 修改 ， 则 会 显示 8 或 9 位 的 字符 串 和 文件 名 的 组 合 
SM5DLUGTC filename， 各 参数 含义 如 下 。 

S: 文件 大 小 。 

: 权限 和 文件 类 型 。 

: MD5 校 验 码 。 

设备 。 

符号 链接 。 

用 户 。 

用 户 组 。 

: 文件 修改 日 期 。 

: 仅 当 列 出 配置 文件 时 才 出 现 。 

在 这 个 字符 串 中 如 果 某 个 位 置 列 出 的 是 “.”， 则 表明 没有 这 方面 的 问题 ， 如 果 显 示 上 
面 的 字符 ， 则 表明 该 属性 已 经 被 修改 。 例 如 ，MS5.../etc/hosts 表明 /etc/hosts 文件 的 大 小 、 
权限 和 内 容 都 已 被 修改 ， 而 其 他 属性 没有 被 修改 。 

RPM 校 验 软件 包 的 命令 格式 如 下 。 


RPM {-VI--verifyl [select-options] [verify-options] 

select-options 选项 指定 校 验 对 象 ， 同 于 查询 选项 的 设置 ， 而 verify-options 指定 了 校 验 
的 内 容 ， 其 各 参数 含义 如 下 。 

--noscriots: 不 运行 校 验 脚 本 。 

--nodeps: 不 校 验 依赖 关系 。 

--nofiles: 忽略 丢失 文件 的 错误 。 

--nomd5: 忽略 MD5 校 验 和 错误 。 


5.2 Linux 启动 和 运行 级 别 


人 


一 般 来 说 ， 操 作 系 统 启动 引导 过 程 分 为 两 个 步骤 。 首 先 ， 计 算 机 硬件 经 过 开机 自 检 之 
后 ， 从 软盘 或 者 硬盘 的 固定 位 置 装 载 被 称 为 “引导 装载 器 ”的 一 小 段 代 码 ， 然 后 ， 由 引导 
装载 器 负责 装 入 并 运行 操作 系统 。 上 述 分 成 两 阶段 的 引导 过 程 ， 可 将 计算 机 中 的 固化 软件 
保持 得 足够 小 ， 同 时 也 便于 实现 对 不 同 操作 系统 的 引导 。Linux 操作 系统 也 是 采用 这 种 方 
式 引导 启动 的 ， 当 Linux 操作 系统 被 引导 装载 器 引导 后 ， 它 最 终 被 启动 到 某 一 个 被 称 为 
“系统 运行 级 别 ” 的 状态 下 运行 。 


5.2.1 Linux 的 启动 过 程 


Red Hat Linux 的 启动 过 程 与 其 他 Unix 操作 系统 的 启动 基本 类 似 ， 都 要 经 过 以 下 几 个 
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阶段 : 主机 启动 并 进行 硬件 检测 ， 读 取 硬 盘 MBR 中 的 启动 加 载 引 导 程 序 ， 然 后 再 由 这 个 
引导 程序 启动 硬盘 中 的 操作 系统 ， 根 据 用 户 在 启动 菜单 中 选择 的 启动 项 不 同 可 以 引导 不 同 
的 操作 系统 启动 。 对 于 Linux 操作 系统 ， 启 动 引 导 程序 直接 加 载 Linux 内 核 程序 。 

Linux 的 内 核 程序 负责 操作 系统 的 前 期 工作 ， 并 进一步 加 载 系 统 的 init 进程 。init 进程 
是 Linux 系统 运行 的 第 一 个 进程 ， 该 进程 将 根据 其 配置 文件 执行 相应 的 启动 程序 并 进入 指 
定 的 系统 运行 级 别 。 在 不 同 的 运行 级 别 中 根据 系统 的 设置 将 启动 相应 的 服务 程序 。 在 启动 
过 程 的 最 后 ， 将 运行 控制 台 程序 提示 并 允许 用 户 输入 账号 和 密码 进行 登录 。 


5.2.2 ”Linux 的 运行 级 别 


在 Linux 系统 中 通常 有 0~6 共 7 个 级 别 ， 各 个 级 别 的 含义 见 表 5-1。 


表 5-1 各 运行 级 别 和 含义 


运行 级 别 含 义 
0 停机 ( 千 万 不 要 把 initdefault 设置 为 0)， 否 则 系统 将 不 能 正常 启动 
1 单 用 户 模式 ， 只 允许 root 用 户 使 用 系统 ， 不 允许 其 他 用 户 使 用 
2 多 用 户 ， 在 该 模式 下 不 使 用 NFS 
3 完全 多 用 户 模式 ， 主 机 作为 服务 器 通常 在 该 模式 下 
4 没有 用 到 
5 带 图 形 模式 的 多 用 户 模式 
6 重新 启动 ， 不 要 把 系统 默认 模式 设置 成 6， 否 则 无 法 正常 启动 
当 用 户 登 录 系 统 后 不 清楚 自己 当前 的 运行 模式 时 ， 可 以 使 用 runlevel 命令 进行 查询 。 
runlevel 命令 用 于 显示 系统 当前 和 上 一 次 的 运行 级 别 ， 如 果 系 统 中 不 存在 上 一 次 运行 级 


别 ， 用 “N” 人 代替， 如 图 5-4 所 示 。 


5-4 ”系统 当前 运行 的 级 别 


当 用 户 需 要 从 系统 当前 的 模式 改 为 其 他 模式 时 ， 以 root 用 户 使 用 init 命令 转换 运行 级 别 。 


init [012356] 
[root@loacalhost root]#init 2 


init0 命令 用 于 关机 ， 因 为 运行 级 别 “0” 为 停机 状态 ， 所 以 任何 运行 级 别 转换 到 级 别 
“0” 都 会 进行 关机 操作 。 

init6 命令 用 于 重新 启动 ， 因 为 运行 级 别 “6” 代 表 重 新 启动 ， 所 以 从 任何 级 别 转换 为 
运行 级 别 “6” 都 是 重新 启动 操作 。 

init 进程 是 由 Linux 内 核 引导 运行 的 ， 是 系统 运行 的 第 一 个 进程 ， 所 以 进程 号 (PID) 为 
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“1”，init 进程 运行 后 将 运行 其 配置 文件 ， 引 导 运 行 系统 所 需要 的 其 他 进程 ， 所 以 说 init 
进程 是 其 他 进程 的 父 进 程 。 
查看 系统 中 的 进程 ， 如 图 5-5 所 示 。 


alhost ~ ln ps -et 
PID PPID TIME CMD 
a a6:8: 


1 99:99 
1 BB:BB 
1 2 96 :688 
1 8B:98 

988:88 


5-5 显示 系统 进程 


init 配置 文件 的 全 路 径 名 为 /etc/inittab，init 进程 运行 后 将 按照 该 文件 中 的 配置 内 容 运 
行 系统 启动 程序 。inittab 文件 内 容 如 图 5-6 所 示 。 


inittab This tile describes how the INIT process should set up 


I Ie more /ere/inittob 
the systen in 3 certain nun-level 


Author: Miquel van Snoorenburg, <niquels@drinkel.nl. nugnet. org> 
Pbdlrled Tor RH5 Linux by Marc Ewing and Donnle Barnes 


Default runteveL，The runlevels used by RHS are: 
0 - halt (Do MOT set initdefault to this) 

1 - Single user mode 

2 - Wltiuser, without NFS (The same as 3, 1f you do not have networking) 

3 - Full mttiuser mce 

4 -unused 

5 ~ X11 

6 - reboot (Do NOT set initdefautt to this) 


d;5idnltdefautt 


System initialization, 
1:: sysSinit: /etc/re,d/ rec. sysinit 


arc 
dl rc 
2 drc 
3 alrc 
4 hs wait: /etc/re,d/ re 
6 


Siwait:/etc/re.d/re 
6:walt:/etc/rc.d/re 
Trap CTRL-ALT-DELETE 

sas: ctrlaltdel: /sbin/shutdown -t3 -r now 


of power left. Schedule a shutdown for 2 minutes from now, 
s, of cou rse，assume you have powerd instatted and your 
King correctly 
teown -+ -h +2 "Power Faitu rel System Shutting Down 


Re our UPS tells us power has failed, assune ve have a few minutes 


PK Ir power was restored before the shutdown kicked in, cancel it 
"112345 ;powerokwait: /sbin/shutdomn -Cc "Power Restored; Shutdown CanceLled" 


Run gettys in standard runlevels 
2345: respawn: /sbin/mingetty ttyl 
2345: respawn: /sbin/minaertty tty2 


2345: respawn: /sbin/ningetty 


B 3 
2345: respawn : /sbin/ningetty 


2345: respawn: /shin/mingetty tty5 
2345: respawn: /sbin/mingetty tty6 


Run xdnm in runtevet 5 
5: respawn: /etc/X11/prefdm -nodaemon 


图 5-6 inittab 文件 内 容 


inittab 文件 作为 init 进程 的 配置 文件 ， 用 于 描述 系统 启动 时 和 正常 运行 中 将 运行 哪些 
进程 ， 在 该 文件 中 除 注释 行 采用 “#” 以 外 ， 每 一 行 都 是 以 下 格式 。 
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id:runlevels:action:process 

inittab 文件 中 的 每 一 行 都 是 一 个 设置 记录 ， 每 个 记录 中 有 id、runlevel、action 和 
process 四 个 字段 ， 各 字段 都 用 “:” 分 隔 ， 它 们 共同 确定 了 某 些 进程 在 哪些 运行 级 别 中 以 
何 种 方式 运行 。 

1.id 字段 

它 用 于 在 inittab 文件 中 唯一 表示 一 个 配置 记录 ， 可 以 由 1 一 4 个 字符 组 成 ， 可 以 把 id 
理解 成 一 个 配置 记录 的 名 称 。 

例如 : 

x:5:respawn:/etc/x1ll1/prefdm -nodaemon 

在 上 面 的 记录 中 ，id 字段 为 “x”， 该 记录 为 x 登录 设置 。 

2. runlevel 字段 

该 字段 用 于 指定 该 记录 在 哪些 运行 级 别 中 运行 ，runlevel 可 以 是 单个 运行 级 别 ， 也 可 
以 是 运行 级 别 列表 。 

例如 : 

2:2345:respawn:/sbin/mingetty tty2 

上 面 记录 的 运行 级 别 “2345” 中 都 运行 。 

3. action 字段 

该 字段 描述 了 记录 执行 哪 种 类 型 的 动作 。 下 面 对 action 字段 的 常见 设置 进行 介绍 。 

1) initdefault 

其 用 于 表示 系统 启动 后 将 进入 哪个 运行 级 别 ，process 字段 将 被 忽略 。inittab 文件 中 若 
不 存在 initdefault 记录 ，init 进程 将 会 在 控制 台 询问 要 进入 的 运行 级 别 。 

例如 : 

id:5:initdefault 

表示 系统 将 默认 进入 运行 级 别 5。 

2) sysinit 

该 类 进程 将 在 系统 启动 boot 或 bootwait 类 进程 之 前 运行 ， 记 录 中 的 runlevel 字段 将 被 
忽略 。 

例如 : 

si::sysinit:/etc/rc.d/rc.sysinit 

表示 系统 将 启动 时 将 使 用 rc.sysinit 进行 系统 初始 化 。 


3) wait 


wait 类 进程 将 进入 指定 运行 级 别 后 运行 一 次 ，init 进程 将 等 待 其 结束 。 


第 5 章 “RPM 包 管理 系统 启动 和 运行 级 别 i 只 


例如 
10:0:wait:/etc/rc.d/rc 0 
i1l:1:wait:;/etc/rc.d/rc 1 
12:2:wait:/etc/rc.d/rc 2 
13:3:wait:/etc/rc.d/rc 3 
14:4:wait:/etc/rc.d/rc 4 
15:5:wait:/etc/rc.d/rc 5 
6 6 


16: 


表示 在 进入 系统 的 0 一 6 运行 级 别 后 将 执行 相应 的 命令 。 

4) ctrlaltdel 

其 用 于 指定 用 户 使 用 Ctrlt+Alt+Delete 组 合 键 时 系统 所 进行 的 操作 ， 如 重新 启动 、 进 入 
单 用 户 模式 等 。 

例如 : 


ca::ctrlaltdel:/sbin/shutdown -t3 -r now 


表示 当 用 户 按 Ctrl+AlttDelete 组 合 键 时 ， 系 统 关机 。 
5) respawn 

respawn 类 进程 在 结束 后 会 重新 启动 运行 。 

例如 : 


Run gettys in standard rulevels 

2345:respawn:/sbin/mingetty ttyl 
2345:respawn:/sbin/mingetty tty2 
2345:respawn:/sbin/mingetty tty3 
2345:respawn:/sbin/mingetty tty4 
2345:respawn:/sbin/mingetty tty5 
2345:respawn:/sbin/mingetty tty6 


表示 在 “2345” 运 行 级 别 中 都 会 启动 6 个 虚拟 控制 台 ， 当 用 户 退出 登录 后 mingetty 将 


:wait:/etc/rc.d/rc 


mw PP 大 


出 
县 
bg 


4. process 字段 


process 字段 所 设置 的 是 启动 进程 所 执行 的 命令 。 
例如 : 


si::sysinit:/etc/rc.d/rc.sysinit 


表示 系统 初始 化 执行 的 是 /etc/rc.d/rc.sysinit 脚本 。 
5.3 进程 管理 


Linux 用 分 时 管理 的 方法 使 所 有 的 任务 共享 系统 资源 ， 每 个 用 户 任务 、 每 个 系统 管理 
的 守护 进程 都 可 以 称 为 进程 。 进 程 可 以 定义 为 ， 在 自身 的 虚拟 地 址 空间 运行 的 一 个 单独 的 
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程序 。 如 何 去 控 制 这 些 进程 以 让 它们 更 好 地 为 用 户 服务 称 为 进程 管理 。 
5.3.1 查看 进程 


1. 使 用 ps 命令 查看 系统 进程 


ps 是 Linux 系统 标准 的 进程 查看 工具 ， 通 过 它 可 以 查看 系统 中 运行 进程 的 详细 信息 ， 
使 用 ps -aux 可 以 查看 系统 内 部 的 进程 及 所 有 用 户 的 进程 ， 如 图 5-7 所 示 。 


5-7 使 用 ps 命令 查看 系统 进程 


ps 输出 中 所 包含 的 信息 如 下 。 

USER: 指明 了 哪个 用 户 启动 了 这 个 命令 。 

PID: 进程 ID 号 。 

TTY: 指明 这 个 进程 正 运行 在 哪个 终端 上 。 

TIME: 进程 执行 时 间 。 

COMMAND: 启动 这 个 进程 的 命令 名 称 。 

%CPU: CPU 的 使 用 率 。 

VSZ: 虚拟 内 存 大 小 ， 表 示 如 果 一 个 程序 完全 驻 留 在 内 存 的 话 ， 需 要 占用 多 少 内存 地 址 。 
RSS: 指明 了 当前 实际 占用 的 内 存 是 多 少 。 

STST: 显示 了 进程 当前 的 状态 。 

: 睡眠 状态 。 

: 运行 状态 。 

: 价 死 状态 (进程 已 经 终止 ， 但 在 内 存 中 保留 了 它 的 进程 控制 块 ， 没 有 撤销 )。 
: 不 可 中 断 的 静止 。 

暂停 执行 。 

: 高 优先 级 的 进程 。 

: 低 优先 级 的 进程 。 

: 有 内 存 分 页 分 配 并 锁 在 内 存 内 的 进程 (常用 在 实时 控制 系统 中 )。 


FoIoONAw0 
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2. 使 用 top 命令 查看 系统 进程 

top 程序 会 在 当前 的 终端 全 屏 动态 显示 系统 运行 的 信息 ， 实 时 跟踪 系统 资源 的 使 用 情 
况 ( 包 括 CPU 和 内 存 的 使 用 率 )， 同 时 显示 系统 运行 进程 的 列表 和 每 一 个 进程 运行 的 状态 ， 
使 用 资源 统计 信息 等 ， 非 常 方便 地 分 析 系 统 运 行 中 的 问题 。 在 Shell 提示 符 下 输入 top 命令 
就 可 以 显示 进程 ， 如 图 5-8 所 示 。 


5-8 ”使 用 top 命令 查看 系统 进程 
3. 使 用 pstree 命令 查看 进程 树 


另 一 个 可 以 快速 、 简 单 地 查看 进程 的 命令 是 pstree。 这 个 命令 会 列 出 当前 的 进程 及 其 
树 形 结构 。 一 个 进程 启动 时 会 产生 自己 的 一 个 子 进程 ， 运 行 pstree 命令 就 可 以 容易 地 看 到 
这 些 信 息 ， 如 图 5-9 所 示 。 


ston 一 -Xsession 


5-9 ”使 用 pstree 命令 查看 进程 
5.3.2 ”启动 进程 


在 Linux 中 有 两 种 启动 进程 ， 即 手动 启动 和 调度 启动 。 前 者 是 直接 执行 一 个 命令 ; 而 
者 是 预先 根据 用 户 要 求 进行 设置 ， 然 后 再 自行 启动 。 


于 
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1. 手动 启动 


由 用 户 输 入 命令 直接 执行 一 个 程序 ， 最 少 会 启动 一 个 进程 ， 但 手动 启动 进程 又 可 以 分 
为 前 台 启 动 和 后 台 启 动 。 

前 台 启 动 是 手动 启动 进程 最 常见 的 方式 ， 一 般 情况 下 用 户 输入 一 个 命令 就 已 经 启动 了 
一 个 进程 ， 而 且 是 一 个 前 台 进 程 。 

启动 后 台 进 程 可 以 使 用 “&” 操 作 符 ， 将 “&” 操 作 符 放 在 要 执行 的 命令 后 面 一 起 执 
行 ， 进 程 启动 后 就 会 直接 在 后 台 运 行 而 不 占用 前 台 的 Shell 界面 ， 方 便 用 户 进行 其 他 操 
作 。 例 如 ， 需 要 复制 一 个 大 文件 ， 如 果 把 这 个 复制 程序 放 在 前 台 运行 ， 则 会 一 直 占 用 终 
端 ， 直 到 复制 完成 。 如 果 使 用 “全 ”操作 符 把 它 启动 到 后 台 运 行 ， 启 动 后 它 不 再 占用 终 
端 ， 可 以 使 其 他 程序 运行 。 举 例如 下 。 


[root@loacalhost root]#cp /mnt/testl /home/test2 & 


2. 调度 启动 

有 时 需要 对 系统 进行 一 些 比较 费时 而 且 占用 资源 的 维护 工作 ， 这 些 工作 适合 在 深夜 进 
行 ， 这 时 用 户 就 可 以 进行 调度 安排 ， 指 定 任务 运行 时 间或 者 场所 ， 到 时 候 系 统 会 自动 完 
这 些 工 作 。 要 使 用 自动 启动 进程 的 功能 ， 需 要 掌握 以 下 两 个 启动 命令 。 

1) at 命令 

使 用 at 命令 在 指定 时 刻 执行 指定 的 命令 。 也 就 是 说 ， 该 命令 至 少 需要 指定 一 个 命令 、 
一 个 执行 时 间 才 可 以 正常 运行 。at 命令 可 以 指定 时 间 ， 也 可 以 把 时 间 和 日 期 一 起 指定 。 其 
格式 如 下 。 


at [-V] [-q queue] [-f file] [-m/1/d/v]TIME 


各 参数 含义 如 下 。 

-V: 显示 版 本 编号 。 

-q queue: 使 用 指定 的 队列 (queue) 来 存储 ，at 的 资料 存放 在 queue 中 ， 使 用 者 可 以 同时 
使 用 多 个 queue， 而 queue 的 编号 为 a 一 z 及 A 一 Z 共 52 个 。 

-m: 即使 程式 /指令 执行 完成 后 没有 输出 结果 ， 也 要 返回 电子 邮件 。 

-f file: 读 入 预先 写 好 的 命令 文件 。 使 用 者 不 一 定 要 使 用 交谈 模式 来 输入 ， 可 以 先 将 所 
有 的 指令 写 入 文件 后 再 一 次 读 入 。 

-1: 显示 所 有 指令 队列 (也 可 以 直接 使 用 atq 指令 )。 

-d: 删除 指定 。 

-V: 列 出 所 有 已 经 完成 但 尚未 删除 的 指定 队列 。 

使 用 at 命令 增加 一 个 定时 任务 如 图 5-10 所 示 。 

et 


t> <E0T> 
ob 1 at 2913-92-26 22:28. 


5-10 ”使 用 at 命令 增加 一 个 定时 任务 
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如 图 5-10 所 示 ， 在 22 时 28 分 执行 ls /ete 命令 查看 目录 。 

输入 at 22:28 today 命令 ， 再 按 Enter 键 ， 可 以 查看 /etc 目录 ， 再 按 Ctrl+D 组 合 键 可 以 进 
行 提交 。 

2) crontab 命令 

crontab 的 守护 进程 是 cron。 它 是 一 个 可 以 用 来 根据 时 间 、 上 日期、 月、 星期 的 组 合 来 调 
度 需 要 的 任务 ， 并 且 可 以 设置 为 在 服务 器 空闲 的 时 候 ( 如 夜间 ) 自 动 完成 。 

crontab 的 时 间 取 值 是 分 、 小 时 、 天 、 月 、 周 ， 见 表 5-2。 


表 5-2 crontab 的 时 间 取 值 


项 目 说 明 
minute | 分 钟 取 值 范围 为 0~59 之 间 的 任意 整数 
二 | 小 时 取信 范围 为 0~23 之 间 的 任意 整数 
day | 日 期 取 值 范围 为 0~31 之 间 的 任意 整数 
monte 月 取 值 范围 为 1 一 12 之 间 的 任意 整数 
dayofweek 星期 取信 范围 为 0~7 之 间 的 任意 整数 (0 和 7 代表 星期 天 ) 


crontab 的 命令 格式 如 下 。 
| 


各 参数 的 含义 如 下 。 

-e: 编辑 ， 用 crontab --e 命令 修改 现 有 的 cron 任务 。 

例如 : 

[root@ms ~]# crontab -e 

22 14 * * * touch test // 每 天 14:22 建立 一 个 文件 ， 名 为 test 

* 23 20 1 * reboot // 每 年 的 1 月 20 日 的 23 时 重启 服务 器 

* 22 * * 0 service httpd restart // 每 周 的 星期 天 的 22 时 重启 apache 服务 器 
输入 完成 后 确保 退出 会 出 现 crontab: installing new crontab， 新 的 任务 已 经 安装 。 
-1: 查看 ， 使 用 crontab --1 命令 可 以 查看 当前 的 cron 任务 列表 。 

-I: 删除 ， 使 用 crontab --r 命令 可 以 删除 整个 cron 任务 。 


5.3.3 ”终止 进程 
使 用 kill 命令 能 将 系统 中 任何 一 个 进程 终止 。 其 格式 如 下 。 


}a 负 和 

各 参数 的 含义 如 下 。 

PID: 表示 进程 号 。 

-9: 表示 强制 终止 一 个 进程 。 

要 终止 某 个 进程 ， 需 要 知道 这 个 进程 PPID， 可 以 通过 ps --aux 查找 这 个 程序 的 PID， 
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然后 使 用 下 面 的 命令 终止 它 。 
例如 : 
kill -9 pid 

再 次 使 用 ps 命令 查看 这 个 进程 是 否 存在 。 

如 果 要 终止 当前 控制 台 运 行 的 程序 ， 使 用 Ctrl+C 组 合 键 可 以 终止 这 个 程序 。 其 实 kill 
命令 不 只 是 终止 一 个 进程 ， 这 个 命令 本 身 是 向 另外 进程 发 送 一 个 信号 ，-9(SIGKILL) 信 号 只 
是 其 中 的 一 种 信号 ， 收 到 信号 的 进程 按照 约定 做 出 相应 的 响应 ， 进 程 对 SIGKILL 信号 的 响 
应 就 是 立即 终止 。 


本 
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一 、 填 空 题 


1. RPM 的 中 文 意思 是 

2. 早期 的 Linux 系统 中 软件 包 的 安装 方法 采用 

3. APT 软件 包 管理 主要 应 用 于 操作 系统 。 

4. APT 使 用 一 个 ， 跟 踪 由 用 户 建立 的 /etc/apt/sources.list 列表 中 软件 包 的 当前 
状态 (已 安装 、 未 安装 或 可 安装 )。 

5. 在 Linux 中 使 用 RPM 纯 载 软件 包 时 ， 不 检查 依赖 关系 的 参数 是 ‘ 

6. 如 果 想 查看 Linux 系统 中 已 安装 samba 的 所 有 软件 包 所 在 的 路 径 ， 使 用 的 RPM 完 
整 命令 是 

7. 查看 当前 级 别 的 命令 是 。 

8. 动态 查看 进程 的 命令 是 

二 、 问 答题 

1.RPM 包 管 理 系统 的 用 途 是 什么 ? 

2. 一 个 Linux 系统 默认 进入 图 形 模式 ， 如 果 想 默认 让 系统 进入 字符 多 用 户 模式 ， 要 修 
改 哪个 文件 ? 具体 修改 这 个 文件 的 哪个 位 置 ? 

3. 使 用 crontab 命令 设置 一 个 调度 ， 每 个 月 的 第 一 天 复制 /var/log/message 文件 到 
/home/back 目录 ， 和 覆盖 上 个 月 复制 的 message 文件 。 

4. 使 用 crontab 命令 设置 一 个 调度 ， 每 天 的 23 时 重启 Linux 服务 器 ， 如 何 操作 ? 

5. 使 用 crontab 命令 设置 一 个 调度 ， 每 周二 重启 apache 服务 ， 如 何 操 作 ? 


三 、 上 机 实 训 

需求 描述 

(1) 查询 RPM 软件 包 。 
(2) 安装 RPM 软件 包 。 
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实现 思路 

(1) 使 用 -q 选项 查询 。 查 询 所 有 已 安装 的 软件 包 ， 查 询 单个 软件 包 ， 查 询 含有 某 个 命 
令 或 文件 的 软件 包 。 

(2) 使 用 -i 选项 安装 。 把 软件 包 下 载 或 复制 到 主 目录 下 ， 使 用 RPM 命令 进行 安装 ， 查 
询 刚 安 装 的 软件 包 。 
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学 习 目的 与 要 求 : 

本 章 将 讲述 RAID 技术 及 常见 的 规范 ， 学 习 在 Linux 下 使 用 -indadm 管理 工具 实现 
RAID 的 搭建 ; 学 习 在 Liniix 下 实现 LVM 均 辑 卷 的 技术 以 动态 地 扩充 磁盘 容量 。 通 过 对 本 
章 的 学 习 ， 读 者 应 做 到 以 下 几 点 。 

@ 熟悉 Linux 下 的 RAID 技术 ， 并 会 熟练 使 用 Linux 配置 RAID 5。 

@ 熟练 使 用 Linux 配置 LVM 逻辑 卷 技术 。 

@ ”熟练 使 用 Linux 配置 磁盘 配额 。 


6.1 RAID 技术 


RAID 是 “Redundant Array of Independent Disks” 的 缩写 ， 中 文 意思 是 独立 磁盘 元 余 阵 
列 。 简 单 地 解释 就 是 将 多 个 硬盘 通过 软件 或 者 硬件 结合 成 虚拟 单 台 大 容量 的 硬盘 使 用 ， 
RAID 主要 强调 其 扩充 性 及 容错 机 制 。RAID 在 无 须 停 机 情况 下 可 实现 以 下 动作 。 
可 以 自动 检测 故障 硬盘 。 
可 以 重建 硬盘 坏 道 的 资料 。 
支持 在 不 停机 的 情况 下 对 硬盘 进行 备份 。 
支持 不 停机 的 情况 下 更 换 硬盘 。 
支持 动态 扩充 硬盘 容量 。 


6.1.1 RAID 技术 简介 


RAID 技术 最 开始 出 现 的 目的 是 ， 能 使 用 小 的 廉价 的 磁盘 来 代 蔡 大 的 昂贵 磁盘 ， 以 降 
低 数据 存储 的 费用 ， 同 时 RAID 技术 使 得 磁盘 在 出 现 问题 时 可 以 保护 硬盘 上 的 数据 不 会 丢 
失 ， 并 且 能 适当 地 提升 数据 读 写 的 速度 。 

以 前 的 RAID 一 直 使 用 在 高 档 的 服务 器 上 ， 一 直 是 高 档 的 SCSI 硬盘 的 配套 技术 。 近 
年 来 随 着 技术 的 发 展 和 硬件 产品 成 本 的 不 断 下 降 ，IDE 硬盘 性 能 有 了 很 大 提升 ， 加 之 
RAID 芯片 的 普及 ， 使 得 RAID 也 逐渐 在 个 人 计算 机 上 得 到 应 用 。 

那么 什么 是 RAID，Redundant 的 汉语 意思 是 多 余 的 。 当 然 磁 盘 阵 列 不 只 是 一 个 磁盘 
而 是 多 个 磁盘 。 它 是 利用 重复 相同 的 磁盘 来 处 理 数据 ， 使 数据 得 到 高 稳定 性 和 快速 的 读 
写 速度 。 

RAID 分 为 不 同 的 级 别 ， 不 同 的 级 别 有 着 不 同 的 工作 模式 ， 整 个 RAID 通过 对 磁盘 进 
行 组 合 ， 达 到 提高 效率 、 减 少 错误 的 目的 。 为 了 便于 说 明 ， 图 6-1 的 每 个 方块 代表 一 个 磁 
盘 阵 列 ， 竖 的 代表 一 个 磁盘 ， 横 的 称 为 带 区 。 

RAID 技术 规范 主要 包含 RAID 0 一 RAID 6 等 规范 ， 它 们 的 侧重 点 各 不 相同 ， 常 见 的 
规范 有 如 下 几 种 。 


1. RAID 0 


RAID 0 是 所 有 RAID 中 读 写 性 能 最 高 的 ， 如 图 6-1 所 示 。 要 实现 RAID 0 必须 要 有 两 
个 以 上 硬盘 驱动 器 ，RAID 0 并 不 是 真正 的 RAID 结构 ，RAID 0 连续 以 位 或 字 节 为 单位 分 
割 数据 ， 并 行 读 / 写 于 多 个 磁盘 上 ， 因 此 具有 很 高 的 数据 传输 率 ， 但 它 没 有 数据 元 余 ， 因 此 
并 不 能 算是 真正 的 RAID 结构 。RAID 0 只 是 单纯 地 提高 性 能 ， 并 没有 为 数据 的 可 靠 性 提供 
保证 ， 而 且 其 中 的 一 个 磁盘 失效 将 影响 到 所 有 数据 。 因 此 ，RAID 0 不 能 应 用 于 数据 安全 
性 要 求 高 的 场合 。 


避 
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2. RAID 1 


与 RAID 0 相 比 ，RAID 1( 如 图 6-2 所 示 ) 有 很 好 的 数据 保护 性 能 ， 但 是 数据 的 读 取 速度 
会 受到 影响 ， 因 为 数据 要 一 边 写 一 边 备份 ， 如 果 要 求 数据 的 可 靠 性 ， 可 以 考虑 RAID 1， 
即使 一 个 硬盘 出 现 问 题 也 不 会 对 整个 数据 造成 损害 。 


图 6-1 RAIDO 图 6-2 RAID1 
3. RAID2 和 RAID 3 


从 概念 上 讲 ，RAID 2 与 RAID 3( 如 图 6-3 所 示 ) 类 似 ， 两 者 都 是 将 数据 条 块 化 地 分 布 于 
不 同 的 硬盘 上 ， 然 而 RAID 2 使 用 称 为 “加 重 平 均 纠 错 码 ” 的 编码 技术 来 提供 错误 检查 及 
恢复 服务 。 这 种 编码 技术 需要 多 个 磁盘 存放 检查 及 恢复 信息 ， 使 得 RAID 2 技术 的 实施 更 
复杂 ， 因 此 在 商业 环境 中 很 少 使 用 。RAID 3 使 用 单 块 磁盘 存放 奇偶 校 验 信息 ， 奇 偶 盘 失 
效 并 不 影响 数据 使 用 ，RAID 3 对 于 大 量 的 连续 数据 可 提供 很 好 的 传输 率 ， 但 对 于 随机 数 
据 ， 奇 偶 盘 会 成 为 写 操作 的 瓶颈 。 

4. RAID 4 


RAID 4( 如 图 6-4 所 示 ) 同 RAID 2 和 RAID 3 一 样 ， 也 同样 将 数据 条 块 化 并 分 布 于 不 同 
的 磁盘 上 ， 但 条 块 单位 为 块 或 记录 。RAID 4 使 用 一 块 磁盘 作为 奇偶 校 验 盘 ， 每 次 写 操作 
都 需要 访问 奇偶 盘 ， 成 为 写 操作 的 瓶 贰 ， 其 在 商业 应 用 中 很 少 使 用 。 


RAID 4 


图 6-3 RAID3 6-4 RAID4 
5. RAID 5 


RAID 5( 如 图 6-5 所 示 ) 没 有 单独 指定 的 奇偶 盘 ， 而 是 交叉 地 存 取 数 据 及 奇偶 校 验 信息 


< 
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于 所 有 磁盘 上 。 在 RAID 5 上 读 / 写 指针 ， 可 同时 对 阵列 设备 进行 操作 , 提供 了 更 高 的 数据 
流量 ，RAID 5 更 适合 于 小 数据 块 随机 读 写 的 数据 。RAID 3 与 RAID 5 相 比 ， 重 要 的 区 别 
在 于 RAID 3 每 进行 一 次 数据 传输 ， 需 涉及 所 有 的 阵列 盘 ， 而 对 于 RAID 5 来 说 ， 大 部 分 数 
据 传 输 只 对 一 块 磁盘 操作 ,可 进行 并 行 操作 。 在 RAID 5 中 有 “ 写 的 损失 ”， 即 每 一 次 写 
操作 将 产生 4 个 实际 的 读 / 写 操作 ,其 中 两 次 读 旧 的 数据 及 奇偶 信息 ,两 次 写 新 的 数据 及 奇 
偶 信息 。 


图 6-5 RAID5 


6. RAID 6 

与 RAID 5 相 比 ，RAID 6 增加 了 第 二 个 独立 的 奇偶 校 验 信息 块 。 两 个 独立 的 奇偶 
系统 使 用 不 同 的 算法 ， 数 据 的 可 靠 性 非常 高 ， 即 使 两 块 磁盘 同时 失效 ， 也 不 会 影响 数 
据 的 使 用 ， 但 需要 分 配给 奇偶 校 验 信息 更 大 的 磁盘 空间 ， 相 对 于 RAID 5 有 更 大 的 “ 写 
的 损失 ”。RAID 6 的 写 性 能 非常 差 . 较 差 的 性 能 和 复杂 的 实施 使 得 RAID 6 很 少 使 用 ， 
如 图 6-6 所 示 。 


RAID 6 


| | | | 


图 6-6 RAID6 


7. RAID 0+1 


把 RAID 0 和 RAID 1 技术 结合 起 来 ， 即 RAID 0+1。 数 据 除 分 布 在 多 个 盘 上 外 ， 每 个 
盘 都 有 其 物理 镜像 盘 ， 提 供 全 宛 余 能 力 ， 人 允许 一 个 以 下 磁盘 故障 而 不 影响 数据 可 用 性 ， 并 
具有 快速 读 / 写 能 力 ， 要 求 至 少 4 个 硬盘 才能 做 成 RAID 0+1。 


6.1.2 RAID 5 配置 


下 面 以 RAID 5 为 例 给 大 家 介绍 它 的 配置 过 程 。RAID 5 在 很 多 领域 都 得 到 了 广泛 的 应 
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用 ， 它 的 元 余 和 容错 能 力 都 是 非常 不 错 的 。 在 Linux 系统 中 ， 内 核 支持 RAID 技术 ， 这 里 
给 大 家 介绍 Linux 下 的 软 RAID， 也 就 是 用 软件 实现 的 RAID 技术 。 

在 早期 的 Linux 版 本 中 使 用 的 是 raidtools 工具 。raidtools 是 Linux 下 一 款 经 典 的 用 于 
管理 软件 RAID 的 工具 ， 但 是 因为 配置 /etc/RAIDtab 比较 繁琐 ， 而 且 其 功能 有 限 ， 所 以 现 
在 越 来 越 多 的 人 选择 mdadm。mdadm 是 Multiple Devices Admin 的 简称 ， 它 是 Linux 下 的 
一 款 标准 的 RAID 管理 工具 ，mdadm 具有 以 下 特点 。 

@ mdadm 能 够 诊断 、 监 控 和 收集 详细 的 阵列 信息 。 

@ mdadm 是 一 个 单独 集成 化 的 程序 ， 而 不 是 一 些 分 散 程序 的 集合 ， 因 此 对 不 同 

RAID 管理 命令 有 共通 的 语法 。 

@ mdadm 能 够 执行 几乎 所 有 的 功能 ， 而 不 需要 配置 文件 (也 没有 默认 的 配置 文件 )。 

当然 ， 如 果 需 要 一 个 配置 文件 ，mdadm 将 帮助 管理 它 的 内 容 。mdadm 与 其 说 是 工具 
不 如 说 是 一 个 命令 ， 只 要 输入 一 条 命令 就 能 实现 RAID。 

一 般 情况 下 ，mdadm 工具 在 高 版 本 的 Linux 中 已 经 自 带 ， 如 果 没 有 ， 可 以 到 官方 网 站 
下 载 (http://www.cse.unsw.edu.au/)。 推 荐 下 载 TGZ 格式 的 压缩 包 自 行 编译 ， 然 后 安装 
mdadm 和 它 的 文档 、 手 册 和 示例 文件 。 具 体 安装 过 程 不 做 讲解 。 


1. mdadm 的 用 法 
mdadm 的 格式 如 下 。 


mdadm [mode] <RAID-device> [options] <component-devices> 


其 目前 支持 Linear、RAID 0(striping)、RAID 1(mirroring)、RAID 4、RAID 5、RAID 6、 
RAID 10、Mnultipath 和 Faulty。 

mdadm 主要 命令 说 明 模 式 如 下 。 

assemble: 加 入 一 个 以 前 定义 的 阵列 。 

build: 创建 一 个 没有 超级 块 的 阵列 。 

zcreate: 创建 一 个 新 的 阵列 ， 每 个 设备 具有 超级 块 。 

manage: 管理 阵列 (如 添加 和 删除 )。 

misc: 允许 单独 对 阵列 中 的 某 个 设备 进行 操作 (如 停止 阵列 )。 

follow or Monitor: 监控 RAID 的 状态 。 

grow: 改变 RAID 的 容量 或 阵列 中 的 设备 数目 。 

mode 选项 如 下 。 

-A, --assemble: 加 入 一 个 以 前 定义 的 阵列 。 

-B, --build: 建立 一 个 没有 超级 块 的 陈列 。 

-C, --create: 创建 一 个 新 的 阵列 。 

-Q, --query: 查看 一 个 device， 判 断 它 为 md device 还 是 md 阵列 的 一 部 分 。 

-D, --detail: 打印 一 个 或 多 个 md device 的 详细 信息 。 

-E, --examine: 打印 device 上 的 md superblock 的 内 容 。 
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-F, --follow, --monitor: 选择 Monitor 模式 。 

-G, --grow: 改变 正在 运用 的 阵列 的 大 小 或 形态 。 

-h, --help: 帮助 信息 ， 用 在 以 上 选项 后 ， 则 显示 该 选项 信息 。 

--help: 同 -h 选项 。 

-V, --version: 显示 版 本 信息 。 

-V, --Verbose: 显示 细节 。 

-b, --brief: 较 少 的 细节 ， 用 于 --detail 和 --examine 选项 。 

-c, --config=: 指定 配置 文件 ， 默 认为 /etc/mdadm/mdadm .conf。 

-s，--scan: 扫描 配置 文件 或 /proc/mdstat， 以 搜寻 丢失 的 信息 。 配 置 文件 为 /etc/mdadm/ 
mdadm.conf。 

如 果 mode 选择 使 用 了 -C--create 或 -B--build 选项 ， 则 可 以 进一步 使 用 以 下 的 辅助 选项 。 

-c，--chunk=: chunk 大 小 默认 为 64。chunk-size 是 一 个 重要 的 参数 ， 决 定 了 一 次 向 阵 
列 中 每 个 磁盘 写 入 数据 的 量 。 在 创建 带 区 时 ， 我 们 应 该 根据 实际 应 用 的 需要 ， 合 理 地 选择 
带 区 大 小 。 

--rounding=: 线性 阵列 单位 (==chunk size)。 

-], --level=: 设 定 raid level。 

--create: 可 用 Linear、 RAID 0、0、stripe、RAID 1、1、miror、 RAID 4、4、RAID 5、 
5、RAID 6、6、Multipath、mp。 

--build: 可 用 Linear、RAID 0、0、stripe。 

-p，--parity=: 设 定 RAID 5 的 奇偶 校 验 规则 ， 即 eft-asymmetric、left-symmetric、right- 
asymmetric、right-symmetric、la、ra、ls、rs， 默 认为 left-symmetric。 

--layout=: 类 似 于 --parity。 

-D, --RAID-devices=: 指定 阵列 中 可 用 device 的 数目 ， 这 个 数目 只 能 由 --grow 修改 。 

-X, --Spare-devices=: 指定 初始 阵列 的 富余 device 数目 。 

-z, --Size=: 组 建 RAID 1/4/5/6 后 ， 从 每 个 device 获取 的 空间 总 数 。 

--assume-clean: 目前 仅 用 于 --build 选项 。 

-R，--run: 阵列 中 的 某 一 部 分 出 现在 其 他 阵列 或 文件 系统 中 时 ，mdadm 会 确认 该 阵 
列 。 此 选项 将 不 做 确认 。 

于 --force: 通常 mdadm 不 允许 只 用 一 个 device 创建 阵列 ， 而 且 创建 RAID 5 时 会 使 
用 一 个 device 作为 missing drive。 此 选项 正好 相反 。 


2. 具体 配置 过 程 


使 用 4 块 硬盘 ， 其 中 3 块 作为 RAID 5， 另 外 一 块 作为 备份 设备 。 如 果 RAID 5 中 的 3 
块 硬盘 中 有 一 块 损坏 ， 则 备份 硬盘 自动 蔡 换 。 因 为 RAID 使 用 的 是 硬盘 的 分 区 ， 所 以 把 4 
块 硬盘 的 每 块 硬盘 分 一 个 区 ， 然 后 把 分 区 的 编号 改 成 RAID 的 编号 ， 如 图 6-7 所 示 。 
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图 6-7 把 4 个 硬盘 分 区 


图 6-7 中 sda 硬盘 是 系统 所 在 硬盘 ，sdb、sdc、sdd、sde 四 块 硬盘 作为 RAID 使 用 ， 并 
且 分 区 的 id 为 Linux raid autodetect。 

1) 使 用 mdadm 命令 创建 RAID 5 

这 里 使 用 了 /dev/sdbl1、/dev/sdcl1、/dev/sddl1、/dev/sdel 四 个 设备 创建 RAID 5， 其 中 
/dev/sdbl 作为 备份 设备 ， 其 他 为 活动 设备 。 备 份 设备 主要 起 备用 作用 ， 一 旦 某 一 设备 损 
坏 ， 可 以 立即 用 备份 设备 替换 ， 当 然 也 可 以 不 使 用 备份 设备 。 命 令 格式 如 下 ， 如 图 6-8 所 示 。 


mdadm -Cv /dev/md0 -15 -n3 -cl128 /dev/sdcl /dev/sddl /dev/sdel -xl 
/dev/sdbl 


图 6-8 建立 RAID 5 命令 


图 6-8 的 命令 中 ， 各 参数 分 别 表示 如 下 作用 : “-C” 指 创建 一 个 新 的 阵列 ; 
“/devwmd0” 表 示 阵 列 设备 名 称 ，“-15” 表 示 设 置 阵列 模式 ， 可 以 选择 0、1、4、5、6， 
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它们 分 别 对 应 于 RAID 0、RAID 1、RAID 4、RAID 5、RAID 6， 这 里 设 为 RAID 5 模式 ; 
“-n3” 指 设置 阵列 中 活动 设备 的 数目 ， 该 数目 加 上 备用 设备 的 数目 应 等 于 阵列 中 的 总 设备 
数 ; “-x1” 指 设置 阵列 中 备份 设备 的 数目 ， 当 前 阵列 中 含有 1 个 备份 设备 “-c128” 指 
设置 块 的 尺寸 为 128KB， 默 认为 64KB。 

2) 查看 状态 命令 

查看 状态 命令 more /proc/mdstat， 如 图 6-9 所 示 。 


6-9 查看 状态 命令 


图 6-9 是 RAID 5 建立 进度 条 ， 过 几 分 钟 再 次 查看 ， 如 图 6-10 所 示 ，RAID 5 已 经 建立 
成 功 。 其 中 包含 磁盘 数量 、RAID 登记 、 块 尺寸 、 块 个 数 。 


6-10 RAID 5 建立 成 功 


3) 挂 载 设备 
RAID 5 配置 已 经 完成 ， 要 使 用 它 ， 必 须 先 格式 化 ， 再 挂 载 。 可 以 使 用 mkfs 命令 格式 
化 ， 使 用 mount 命令 挂 载 ， 格 式 化 命令 是 #mkfs.ext3 /dev/md0， 如 图 6-11 所 示 。 


图 6-11 格式 化 RAID 5 


将 md0 挂 载 到 mnt 下 的 RAIDS 文件 夹 中 ， 使 用 的 命令 是 mount/dev/md0/mnt/raid5， 如 
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图 6-12 所 示 。md0 已 经 挂 载 到 raid5 文件 夹 中 ， 可 以 对 其 进行 操作 。 


6-12 挂 载 RAID 5 


4) RAID 的 启动 和 停止 

停止 的 命令 是 mdadm -S /dev/md0( 先 要 用 umount 全 载 md0)。 

启动 的 命令 是 mdadm -A /dev/md0 /dev/sdbl /dev/sdc1 /dev/sdd] /dev/sdel 。 

查看 md0 的 信息 ， 使 用 命令 mdadm -D /dev/md0 查看 RAID 设备 的 详细 信息 ， 如 图 6-13 
所 示 。 该 图 给 用 户 提 供 了 RAID 的 信息 ， 有 版 本 号 、 建 立时 间 、RAID 等 级 、 能 使 用 的 空 
间 大 小 、 总 的 空间 大 小 、RAID 设备 ( 几 个 硬盘 参与 RAID 5 活动 ， 图 中 为 3 个 )、 总 的 设备 
(一 共有 几 个 硬盘 ， 图 中 有 4 个 )、 更 新 时 间 、 块 的 大 小 、 硬 盘 的 名 称 等 。 


图 6-13 查看 md0 信息 


6.1.3 ”RAID 故障 模拟 


上 面 的 实例 使 我 们 对 Red Hat Linux 的 软 RAID 功能 有 了 一 定 的 认识 ， 并 且 通 过 详细 的 
步骤 说 明了 如 何 创建 RAID 5。 有 了 RAID 做 保障 ， 计 算 机 中 的 数据 看 起 来 似乎 已 经 很 安全 
了 ， 然 而 现 有 的 情况 还 是 不 能 让 我 们 高 枕 无 忧 ， 万 一 磁盘 出 现 故 障 怎么 办 ? 下 面 模拟 一 个 
更 换 RAID 5 故障 磁盘 的 完整 过 程 ， 希 望 以 此 丰富 大 家 处 理 RAID 5 故障 的 经 验 ， 提 高 管理 
和 维护 水 平 。 

我 们 仍然 沿用 前 面 的 RAID 5 配置 ， 首 先 往 阵列 中 复制 一 些 数据 ， 接 下 来 开始 模拟 


恒 


中 
Nl 


入 


RN 


Linux 操作 与 服务 器 配置 实用 教程 


并 


/dev/sdbl 设备 故障 。 不 过 对 于 没有 备份 设备 的 RAID 5 模拟 过 程 也 要 经 过 以 下 3 步 ， 
阵列 重 构 和 数据 恢复 是 发 生 在 新 设备 添加 到 阵列 中 之 后 ， 而 不 是 设备 损坏 时 。 
(1) 挂 载 md0 到 mnt 目录 下 的 raid5 文件 夹 ， 然 后 写 入 一 些 数据 ， 如 图 6-14 所 示 。 
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图 6-14 在 RAID 设备 中 写 入 一 些 数据 
(2) 使 用 mdadm -命令 模拟 sdbl 坏 损 ， 然 后 查看 阵列 状态 ， 如 图 6-15 所 示 。 


图 6-15 模拟 sdb1 损坏 
因为 有 备份 设备 ， 所 以 当 阵 列 中 出 现 设 备 损坏 时 ， 阵 列 能 够 在 短 时 间 内 实现 重 构 和 数 
据 的 恢复 。 从 当前 的 状态 可 以 看 出 ， 阵 列 正在 重 构 且 运行 在 降级 模式 ，sdbl 的 后 面 已 经 标 
上 了 (F)， 活 动 设备 数 也 降 为 两 个 。 
(3) 过 几 分 钟 再 次 查看 RAID 的 状态 ， 如 图 6-16 所 示 。 因 为 有 备份 设备 sdel， 所 以 在 
sdbl 坏 损 的 时 候 ，sdel 自动 添加 到 RAID 中 。 从 图 中 可 以 看 到 sdel 已 经 工作 ， 设 备 又 变 
成 了 3 个 。 


6-16 查看 RAID 的 状态 


(4) 再 次 查看 raid5 文件 夹 中 的 文件 是 否 存 在 ， 如 图 6-17 所 示 。 从 图 中 可 以 看 到 文件 
仍然 存在 ， 说 明 raid5 的 容错 能 力 很 好 。 


[ 


图 6-17 查看 RAID 文件 夹 的 文件 是 否 存在 
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(5) 移 除 坏 损 设备 并 添加 新 的 硬盘 ， 移 除 设 备 使 用 mdadm 的 -r 参数 ， 如 图 6-18 所 示 ， 
sdbl 已 经 被 移 除 。 


图 6-18 移 除 坏 的 设备 
因为 是 模拟 操作 ， 可 以 通过 下 面 的 命令 再 次 将 /dev/sdb1 添加 到 阵列 中 。 如 果 是 实际 操 
作 ， 则 要 注意 两 点 : 一 是 在 添加 之 前 要 对 新 磁盘 进行 正确 的 分 区 ; 二 是 添加 时 要 用 所 添加 
设备 的 设备 名 蔡 换 /dev/sdb1， 如 图 6-19 所 示 。 此 时 sdbl 已 经 添加 到 RAID5 中 并 成 为 备份 
设备 。 


图 6-19 再 次 添加 备份 设备 
6.2 LVM 


LVM 是 逻辑 卷 管理 (Logical Volume Manager) 的 简称 。 它 是 Linux 环境 下 对 磁盘 分 区 进行 
管理 的 一 种 技术 ， 是 建立 在 硬盘 和 分 区 之 上 的 一 个 逻辑 层 ， 从 而 提高 对 分 区 管理 的 灵活 性 。 


6.2.1 LVM 简介 及 产生 的 背景 


逻辑 卷 管理 器 是 逻辑 的 磁盘 分 区 ， 区 别传 统 的 物理 硬盘 。 每 种 技术 的 产生 都 有 其 必然 
的 需要 。LVM 的 产生 是 为 了 满足 企业 日 益 变 化 的 存储 需求 和 传统 的 磁盘 分 区 之 间 的 矛 
盾 。 传 统 的 磁盘 分 区 大 小 是 固定 的 ， 每 一 个 分 区 容量 也 是 固定 的 ， 但 是 数据 是 不 断 变化 
的 。 随 着 数据 的 不 断 增加 ， 磁 盘 总 会 有 一 天 被 填 满 ， 在 当今 这 个 高 速 发 展 的 时 代 ， 企 业 的 
信息 化 进程 不 断 加 深 ， 数 据 变化 的 速度 非常 快 ， 所 以 硬盘 分 区 用 不 了 多 长 时 间 就 需要 重新 
格式 化 以 增加 分 区 。 

假设 有 一 个 硬盘 分 区 大 小 是 100MB， 如 果 这 个 分 区 数据 已 满 ， 只 能 添加 一 个 新 的 硬 
盘 ， 在 新 硬盘 上 创建 一 个 新 的 分 区 ， 然 后 将 以 前 分 区 中 的 内 容 ， 移 植 到 新 硬盘 的 分 区 中 。 
这 个 过 程 需要 关闭 计算 机 ， 需 要 把 新 分 区 格式 化 ， 然 后 复制 数据 ， 这 是 非常 烦琐 的 ， 也 会 
影响 企业 的 正常 工作 。LVM 的 产生 就 是 为 了 解决 这 个 矛盾 ， 使 用 LVM 技术 不 需要 关闭 计 
算 机 ， 不 需要 重新 分 区 ， 直 接 使 用 现 有 的 物理 设备 就 可 以 直接 增加 新 的 物理 空间 ， 用 户 可 
以 动态 地 放大 或 缩小 一 个 存储 空间 的 大 小 ， 这 个 存储 的 空间 称 为 逻辑 块 或 是 逻辑 区 。 


Xx 


Xl 
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6.2.2 LVM 基本 术语 


1) 物理 卷 

物理 卷 (Physical Volume，PV) 在 逻辑 管理 中 处 于 最 底层 ， 可 以 是 一 个 分 区 也 可 以 是 整 
个 硬盘 。 

2) 卷 组 

LVM 卷 组 (Volume Group，VG) 类 似 于 非 LVM 系统 中 的 物理 硬盘 。 它 由 物理 卷 组 成 ， 
可 以 在 卷 组 上 创建 一 个 或 多 个 “LVM 分 区 ”( 逻 辑 卷 )。LVM 卷 组 由 一 个 或 多 个 物理 卷 组 成 。 

3) 逻辑 卷 

逻辑 卷 (Logical Volume，LV) 建 立 在 卷 组 之 上 ， 卷 组 中 的 未 分 配 空间 可 以 用 于 建立 新 
的 逻辑 卷 。 逻 辑 卷 建立 后 可 以 动态 地 扩展 和 缩小 空间 ， 系 统 中 的 多 个 逻辑 卷 可 以 属于 同一 
个 卷 组 ， 也 可 以 属于 不 同 的 卷 组 。 

4) 物理 区 域 

每 一 个 物理 卷 被 划分 为 称 为 物理 区 域 (Physical Extents，PE) 的 基本 单元 ， 具 有 唯一 编 
号 的 物理 区 域 是 可 以 被 LVM 寻 址 的 最 小 单元 ， 物 理 区 域 的 大 小 是 可 配置 的 ， 物 理 区 域 的 
默认 值 为 4MB。 

5) 逻辑 区 域 

逻辑 区 域 (Logical Extent，LE) 逻 辑 卷 中 可 用 于 分 配 的 最 小 存储 单元 。 逻 辑 区 域 的 大 小 
取决 于 逻辑 卷 所 在 卷 组 中 的 物理 区 域 的 大 小 。 


6.2.3 ”逻辑 卷 配 置 


逻辑 卷 管理 器 如 图 6-20 所 示 。 使 用 逻辑 卷 必须 要 准备 物理 分 区 ， 也 只 有 物理 的 介质 才 
能 存放 数据 ， 假 设 一 块 硬盘 上 有 3 个 物理 分 区 sdbl1、sdb2 和 sdb3， 将 它们 初始 化 时 使 用 的 
命令 是 pvcreate， 后 面 跟随 真实 的 物理 设备 。 


/dev/sdbl /dev/sdb3 


图 6-20 ”逻辑 卷 管理 器 
命令 是 pvereate /dev/sdbl /dev/sdb2 /dev/sdb3， 如 图 6-21 所 示 。 这 个 命令 表示 同时 初始 
化 这 3 个 硬盘 分 区 ， 初 始 化 好 的 物理 分 区 是 LVM 专用 的 ， 称 为 物理 卷 。 物 理 卷 是 一 个 非 
常 重要 的 概念 ， 一 定 要 区 别 后 面 介绍 的 逻辑 卷 。 现 在 假设 图 6-21 的 3 个 物理 卷 已 经 全 部 完 
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成 初始 化 ， 为 了 使 用 物理 卷 ， 还 需要 把 完成 初始 化 的 物理 卷 合 并 起 来 成 为 一 个 大 的 设备 ， 
如 图 6-22 所 示 。 


100MB 100MB SOMB 


/dev/sdbl /dev/sdb2 /dev/sdb3 


图 6-21 对 其 初始 化 的 命令 


图 6-22 多 个 物理 卷 合 并 形成 的 逻辑 卷 组 
把 完成 初始 化 的 3 个 分 区 中 的 sdbl 和 sdb2 合并 成 一 个 逻辑 卷 组 使 用 ， 命 令 是 vgcreate 
Vg0 /dev/sdbl /dev/sdb2， 意 思 为 把 sdtbl 和 sdb2 加 入 一 个 卷 组 ， 名 称 为 vg0。 这 个 名 称 可 以 
自 定 义 ， 卷 组 是 不 能 使 用 的 ， 而 卷 组 一 但 组 合成 功 ，sdbl 和 sdb2 分 区 就 不 能 再 单独 使 
用 。 目 前 sdb3 还 没有 用 到 ， 要 使 用 vg0， 必 须 在 卷 组 上 分 割 出 新 的 逻辑 卷 ， 罗 辑 卷 使 用 的 
是 软件 技术 模拟 出 的 一 个 分 区 ， 可 以 认为 是 一 个 分 区 ， 如 图 6-23 所 示 。 在 卷 组 vg0 上 建立 
-个 10MB 的 逻辑 卷 ， 使 用 的 命令 是 lvcreate， 命 令 为 lvcreate -n data -L10M vg0。 


S0MB 


/dev/sdbl 


图 6-23 ”在 逻辑 卷 组 上 建立 的 逻辑 卷 
逻辑 卷 必须 要 命名 ， 物 理 分 区 名 称 是 系统 自动 分 配 的 ， 如 sdbl1、sdb2， 但 是 逻辑 卷 是 


| 
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手动 建立 的 ， 是 逻辑 的 概念 ， 所 以 必须 命名 并 指定 空间 的 大 小 。 该 


创建 逻辑 卷 ， 也 可 以 为 data 增加 大 小 。 

data 逻辑 卷 可 以 不 断 地 放大 ， 直 到 充满 整个 vg0。 放 大 逻辑 卷 的 命令 是 lvextend， 命 令 
为 lvextend -L +10M /dev/vg0/data。 

如 图 6-24 所 示 为 给 data 逻辑 卷 增加 10MB 的 大 小 。 前 面 建立 的 逻辑 卷 data 需要 格式 
化 后 挂 载 使 用 ，data 在 放大 的 时 候 不 影响 data 里 面 原 有 的 数据 和 文件 系统 ， 逻 辑 卷 上 也 可 
以 支持 其 他 文件 系统 ， 但 是 只 能 使 用 lvextent 命令 来 放大 逻辑 卷 。 


6-24 ”扩大 的 逻辑 卷 
如 果 整 个 罗 辑 卷 充 满 整个 卷 组 ， 就 需要 扩充 卷 组 ， 如 图 6-25 所 示 。 


6-25 ”逻辑 卷 组 扩充 


扩充 卷 组 使 用 的 命令 是 vgextend。 例 如 ，vgextend vg0/dev/sdb3， 意 思 为 向 vg0 中 增加 
新 的 成 员 sdb3。 通 过 这 种 方法 可 以 看 到 ，vg 可 以 动态 放大 ， 逻 辑 卷 可 以 动态 放大 ， 最 终 的 
结果 就 是 逻辑 卷 就 能 够 动态 地 放大 和 缩小 ， 可 以 满足 企业 里 不 断 变化 的 存储 需求 。 

逻辑 卷 还 有 一 个 很 强 的 功能 ， 即 可 以 在 底层 的 物理 卷 上 做 数据 的 移植 ， 可 以 透明 地 将 
一 个 分 区 的 数据 移植 到 另 一 个 分 区 上 ， 如 图 6-26 所 示 。 

假如 sdbl 分 区 上 有 坏 道 ， 可 以 将 上 面 的 数据 移 到 其 他 分 区 ， 命 令 是 pvmove /dev/sdb1l 
[/dev/sdd1]。 如 果 想 单纯 地 腾空 ，sdbl 命令 的 后 面 就 不 需要 加 其 他 参数 ， 命 令 为 pvmove 
/dev/sdb1。 该 命令 的 意思 为 删除 stbl 上 面 的 物理 卷 ， 逻 辑 卷 管理 器 会 自动 地 将 sdbl 上 面 
的 数据 腾 出 来 ， 把 原 有 的 逻辑 卷 数据 移植 到 其 他 空余 的 逻辑 卷 上 。 通 过 这 种 技术 ， 用 户 可 
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以 在 逻辑 卷 中 删除 一 部 分 物理 分 区 。 


/dev/sdbl /dev/sdb2 /dev/sdb3 


卷 组 


图 6-26， 远 辑 卷 组 中 的 物理 卷 移植 
F 面 是 实际 的 配置 过 程 。 
(1) 在 /dewsdb 上 做 LVM， 首 先 用 fdisk 建立 分 区 。 注 意 如 果 硬盘 以 前 使 用 过 ， 一 定 要 
重新 启动 计算 机 ， 才 能 使 用 刚 分 好 区 的 硬盘 sdb。 如 图 6-27 所 示 ，sdb 上 的 分 区 已 经 分 好 。 


图 6-27 sdb 设备 的 分 区 


(2) 初始 化 3 个 分 区 ， 使 用 pvereate /dev/sdbl /dev/sdb2 /dev/sdb3， 也 可 使 用 通配符 的 
形式 ， 即 pvereate /dev/sdb[1-3]。 如 图 6-28 所 示 ，3 个 物理 卷 已 经 初始 化 成 功 。 


图 6-28 初始 化 sdb 设备 上 的 3 个 分 区 


(3) 将 物理 卷 合并 成 一 个 卷 组 ， 在 合并 之 前 要 有 卷 组 数据 库 ， 使 用 vgscan 进行 扫描 。 
在 创建 卷 组 之 前 一 定 要 运行 vgscan， 接 下 来 使 用 vgcreate， 如 图 6-29 所 示 。 


图 6-29 创建 卷 组 


(4) 在 图 6-29 中 ，vg0 这 个 卷 组 已 经 建立 成 功 ， 使 用 vgdisplay 查看 vg0 卷 组 的 信息 。 
VG Size 卷 组 大 小 为 200MB，PE Size 扩展 块 如 图 6-30 所 示 。 
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图 6-30 ”vg0 卷 组 的 信息 
(5) 在 ve0 上 创建 新 的 逻辑 卷 ， 并 且 格 式 化 逻辑 卷 。 如 图 6-31 所 示 ， 创 建 格式 化 成 功 。 


图 6-31 新 建 并 格式 化 逻辑 卷 


(6) 逻辑 卷 可 以 像 使 用 普通 的 硬盘 分 区 一 样 挂 载 ， 如 图 6-32 所 示 。 将 data 逻辑 卷 挂 载 
到 mnt 下 的 LVM 目录 下 


图 6-32 ” 挂 载 逻 辑 卷 
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(7) 查看 data 逻辑 卷 的 一 些 信息 ， 使 用 lvdisplay 命令 ， 如 图 6-33 所 示 。 


图 6-33 查看 data 逻辑 卷 的 信息 


从 图 6-33 中 可 以 看 到 这 个 逻辑 卷 的 大 小 是 12MB， 而 前 面 建立 的 命令 中 指定 的 是 
10MB。 为 什么 逻辑 卷 大 小 是 12MB 而 不 是 10MB 呢 ? 接 下 来 再 看 ve0 卷 组 的 信息 ， 如 
图 6-34 所 示 。 


图 6-34 卷 组 信息 


在 图 6-34 中 显示 “Alloc PE / Size 3 / 12.00MB”。PE 是 扩展 块 ， 每 个 PE 的 大 小 是 
4MB。 为 data 指定 大 小 是 以 扩展 块 的 数量 为 单位 的 ， 指 定 data 大 小 为 10MB， 两 个 扩展 块 
不 够 10MB， 只 能 选用 3 个 扩展 块 ， 所 以 data 大 小 为 1 2MB，data 大 小 是 10MB， 那 么 只 
能 为 data 分 配 3 个 扩展 ， 块 大 小 是 12MB， 这 样 就 能 理解 图 6-33 中 data 的 大 小 为 什么 是 
12MB 了 。 


图 6-34 中 ，vg0 已 经 分 配 了 3 个 扩展 块 ， 剩 余 47 个 扩展 块 。 再 建立 逻辑 卷 的 时 候 ， 
可 以 通过 指定 扩展 块 的 数量 建立 ， 使 用 lvcreate -n data -1 4 vg0( 把 大 写 的 工 改 成 小 写 的 1 就 
是 以 扩展 块 来 分 配 逻辑 卷 的 大 小 )， 使 用 lvscan 查看 现在 系统 中 有 多 少 个 活动 的 逻辑 卷 ， 如 
图 6-35 所 示 。 
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图 6-35 查看 活动 卷 


(8) 轴 辑 卷 扩充 。 查 看 逻辑 卷 如 图 6-36 所 示 。 


图 6-36 查看 逻辑 卷 


如 图 6-36 所 示 ，data 的 大 小 为 1 2MB， 其 中 有 数据 。 如 果 data 逻辑 卷 没 有 空间 了 ， 需 
要 把 data 扩大 ， 使 用 lvextend 命令 ， 如 图 6-37 所 示 。 


图 6-37 ”扩大 逻辑 卷 
在 使 用 lvextend 命令 后 ， 再 次 查看 data， 会 发 现 没有 任何 变化 ， 因 为 lvextend 增加 届 


辑 卷 的 容量 不 会 马上 实现 。 如 果 想 立刻 显现 增加 的 容量 ， 需 要 运行 ext2online 命令 ， 该 命 
令 要 在 逻辑 卷 挂 载 后 运行 ， 如 图 6-38 所 示 ， 使 用 ext2online 命令 要 重新 启动 计算 机 才能 使 


用 ， 否 则 会 提示 错误 。 


图 6-38 查看 逻辑 卷 


通过 上 面 的 试验 可 以 看 出 LVM 有 具有 非常 好 的 动态 存储 技术 ， 而 且 不 会 破坏 逻辑 卷 中 
的 数据 。 使 用 pvscan 查看 逻辑 卷 的 数量 ， 如 图 6-39 所 示 。 


6-39 ”逻辑 卷 的 数量 
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图 中 sdbl 和 sdb2 分 区 属于 vg0 卷 组 ， 而 sdb3 不 属于 任何 卷 组 。 要 把 sdb3 添加 到 vg0 
卷 组 中 使 之 动态 扩大 ， 使 用 命令 vgextend， 如 图 6-40 所 示 。 


图 6-40 ”添加 新 物理 卷 到 卷 组 中 


可 以 看 到 已 成 功 将 sdb3 添加 到 卷 组 vg0 中 ， 卷 组 vg0 的 大 小 从 200MB 增加 到 392MB 。 
(9) 移 除 罗 辑 卷 。 在 移 除 LVM 的 时 候 先 要 移 除 罗 辑 卷 ， 然 后 再 移 除 卷 组 。 移 除 罗 辑 卷 
的 命令 是 lvremove /dev/vg0/date， 如 下 所 示 。 
# lvremove/dev/vg0/data 
/dev/cdrom: open failed: 只 读 文 件 系统 


Do you really want to remove active logical volume "data"? [Y/n] : Y 
Logical volume "data" successfully removed 


再 用 lvdisplay 查看 ， 发 现 data 逻辑 卷 已 经 删除 。 
(10) 移 除 卷 组 。 移 除 逻辑 卷 后 才能 移 除 卷 组 ，vg0 使 用 的 命令 是 vgremove/dev/vg0， 
如 下 所 示 。 


# vgremove/dev/vg0 
/dev/cdrom: open failed: 只 读 文件 系统 
Volume group "vg0" successfully removed 
# 


逻辑 卷 管理 就 介绍 到 这 里 ， 要 注意 所 有 物理 卷 的 查看 使 用 pvscan， 所 有 逻辑 卷 的 查看 
使 用 lvscan， 移 除 逻 辑 卷 使 用 lvremove， 移 除 卷 组 使 用 vgremove。 


6.3 磁盘 配额 


Linux 系统 的 磁盘 配额 功能 用 于 限制 用 户 所 使 用 的 磁盘 空间 ， 并 且 在 用 户 使 用 了 过 多 
的 磁盘 空间 或 分 区 的 空闲 过 少时 ， 系 统管 理 员 会 接 到 警告 。 


6.3.1 磁盘 配额 简介 


磁盘 配额 可 以 针对 单独 用 户 进行 配置 ， 也 可 以 针对 用 户 组 进行 配置 。 配 置 的 策略 也 比 
较 灵活 ， 既 可 以 限制 占用 磁盘 空间 ， 也 可 以 限制 文件 的 数量 。 

要 实现 磁盘 配额 ， 必 须 在 系统 中 安装 quota 软件 包 ， 一般 默 认 已 经 安装 ， 但 是 在 配置 
磁盘 配额 之 前 ， 最 好 还 是 先 查 询 确认 该 软件 包 已 经 安装 。 

配置 磁盘 配额 的 命令 如 下 。 


# rpm -qa quota 
quota=3.12=5 


6.3.2 ”磁盘 配额 的 配置 


1. 磁盘 配额 的 相关 概念 

1) 容量 限制 与 文件 数 限制 

对 磁盘 配额 的 限制 一 般 是 从 一 个 用 户 占用 磁盘 大 小 和 拥有 文件 的 数量 两 个 方面 进行 限 
制 的 。 

2) 软 限制 与 硬 限制 

quota 对 于 用 户 使 用 磁盘 空间 有 软 限 制 和 硬 限 制 两 种 。 软 限制 是 指 一 个 用 户 在 文件 系 
统 中 可 拥有 的 最 大 磁盘 空间 和 最 多 的 文件 数量 ， 在 某 个 限制 范围 可 以 暂时 超过 这 个 限制 。 
硬 限制 是 指 一 个 用 户 可 拥有 的 磁盘 空间 或 文件 的 绝对 数量 ， 绝 对 不 允许 超过 这 个 限制 。 

3) 用 户 限制 和 组 限制 

quota 可 以 对 Linux 系统 中 的 某 个 用 户 进行 磁盘 配额 的 配置 ， 也 可 以 对 系统 中 某 个 用 户 
组 进行 磁盘 配额 的 配置 。 对 用 户 进行 配额 是 指 在 quota 中 设置 对 指定 用 户 的 磁盘 空间 限制 
和 文件 数 限制 ， 配 额 只 对 该 用 户 起 作用 。 对 用 户 组 进行 配额 是 指 在 quota 中 设置 对 指定 用 
户 组 的 磁盘 空间 限制 和 文件 数量 限制 ， 配 额 将 对 组 中 的 所 有 用 户 进行 整体 限制 。 


2. 配置 磁盘 配额 的 步骤 


(1) 磁盘 配额 只 能 在 Ext2 或 Ext3 文件 系统 上 配置 ， 将 /dev 目录 下 的 sdbl 分 区 格式 化 
成 Ext3 文件 系统 ， 如 下 所 示 。 


#mkfs.ext3 /dev/sdbl 
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(2) 挂 载 sdbl 到 mnt 下 的 windows 目录 ， 并 添加 选项 usrquota 和 grpquota 命令 。 


#mount /dev/sdbl /mnt/windows -o usrquota, grpquota 


usrquota 挂 载 选 项 是 使 sdbl 支持 用 户 的 磁盘 配额 。grpquota 挂 载 选项 是 使 sdbl 支持 
用 户 组 的 磁盘 配额 ， 磁 盘 配额 只 支持 分 区 。 
(3) 使 用 mount 命令 查看 挂 载 情况 代码 如 下 。 


[RooteLocalhost ~]# Mkfs.Ext3 /Dev/Vg0/Data  // 使 用 前 面 配置 好 的 LVM 作为 磁盘 配额 
mke2fs 1.35 (28-Feb-2004) 
max blocks 33554432, rsv groups = 4096, rsv gdb = 127 
Filesystem label= 
Os type: Linux 
Block size=1024 (1og=0) 
Fragment size=1024 (10g=0) 
8192 inodes, 32768 blocks 
1638 blocks (5.00%) reserved for the super user 
First data block=1 
Maximum filesystem blocks=33554432 
4 block groups 
8192 blocks per group, 8192 fragments per group 
2048 inodes per group 
Superblock backups stored on blocks: 
8193，24577 


Writing inode tables: done 

inode.i blocks = 764, i size = 67383296 

Creating journal (4096 blocks) : done 

Writing superblocks and filesystem accounting information: done 


This filesystem will be automatically checked every 38 mounts or 
180 days, whichever comes first. Use tune2fs -c or -i to override. 
// 挂 载 逻辑 卷 data 让 其 支持 磁盘 配额 

[root@localhost ~]# mount /dev/vg0/data /mnt/LVM/ -o usrquota,grpquota 
// 使 用 mount 命令 进行 查看 

[root@localhost ~]# mount 

/dev/sda2 on / type ext3 (rw) 

none on /proc type proc (rw) 

none on /sys type sysfs (rw) 

none on /dev/pts type devpts (rw,gid=5,mode=620) 

usbfs on /proc/bus/usb type usbfs (rw) 

/dev/sdal on /boot type ext3 (rw) 

none on /dev/shm type tmpfs (rw) 

none on /proc/sys/fs/binfmt misc type binfmt misc (rw) 

sunrpc on /var/lib/nfs/rpc pipefs type rpc pipefs (rw) 

none on /proc/fs/vmblock/mountPoint type vmblock (rw) 

// 此 行 告诉 用 户 为 磁盘 配额 分 区 
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/dev/mapper/vg0-data on /mnt/LVM type ext3 (rw,usrquota,grpquota) 
/ /该 结果 保存 在 /etc/mtab 中 

[root@localhost ~]# cat /etc/mtab 

/dev/sda?2 / ext3 rw 0 0 

none /proc proc rw 0 0 

none /sys sysfs rw 0 0 

none /dev/pts devpts rw,gid=5,mode=620 0 0 

usbfs /proc/bus/usb usbfs rw 0 0 

/dev/sdal /boot ext3 rw 0 0 

none /dev/shm tmpfs rw 0 0 

none /proc/sys/fs/binfmt misc binfmt misc rw 0 0 

sunrpc /var/lib/nfs/rpc pipefs rpc pipefs rw 0 0 

none /proc/fs/vmblock/mountPoint vmblock rw 0 0 

// 如 果 没 有 下 面 这 句 话 ， 磁 盘 配 额 是 无 法 使 用 的 

/dev/mapper/vg0-data /mnt/LVM ext3 rw,usrquota,grpquota 0 0 


(4) 使 用 quotacheck 命令 建立 磁盘 配额 数据 库 文件 。 
使 用 quotacheck 指令 ,扫描 挂 入 系统 的 分 区 ， 并 在 各 分 区 的 文件 系统 根 目录 下 产生 


aquota.user 和 aquota.group 文件 ， 设 置 用 户 和 群 组 的 磁盘 空间 限制 参数 。 各 参数 的 含义 如 下 。 


-a: 对 /etc/fstab 文件 进行 扫描 ， 有 加 入 quota 设置 的 分 区 。 

-d: 详细 显示 指令 执行 过 程 ， 便 于 排 错 或 了 解 程序 执行 的 情形 。 

-g: 扫描 磁盘 空间 时 ， 计 算 每 个 群 组 识别 码 所 占用 的 目录 和 文件 数目 。 

-R: 排除 根 目录 所 在 的 分 区 。 

-u: 扫描 磁盘 空间 时 ， 计 算 每 个 用 户 识别 码 所 占用 的 目录 和 文件 数目 。 

-V: 显示 指令 的 执行 过 程 。 

-a: 表示 扫描 所 有 分 区 ， 如 果 要 制定 某 一 个 分 区 不 需要 添加 -a， 如 quotacheck -cvug 


/dev/vg0/data。 举 例如 下 。 


[root@localhost ~]# quotacheck -cvuga 

quotacheck: Checked 3 directories and 2 files 

quotacheck: Old file not found. 

quotacheck: Old file not found. 

// 系 统 会 自动 建立 两 个 文件 aquota.group 和 aquota.user， 这 两 个 是 数据 库 文 件 ， 用 来 保存 
// 每 个 用 户 和 组 的 配额 情况 

[root@localhost ~]# 1s /mnt/LVM/ 

aquota.group aquota.user lost+found 

[root@localhost ~]# 


此 时 需要 重新 启动 计算 机 才能 生效 ， 或 使 用 quotaon 命令 加 一 个 参数 -a 激活 所 有 分 


quotaoff 用 来 关闭 用 户 的 磁盘 配额 。 
(5) 使 用 edquota 编辑 用 户 的 配额 情况 ， 参 数 -u 为 用 户 配额 ，-g 为 用 户 组 配额 ， 代 码 
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// 对 用 户 dai 进行 配额 
[root@localhost ~]# edquota -u dai 
Disk quotas for user dai (uid 500): 


Filesystem blocks soft hard inodes soft hard 
/dev/mapper/vg0-data 0 0 0 0 0 0 
其 中 : 


@ blocks: 数据 块 。 

@ inodes: 节点 数量 (又 称 文件 数量 )， 是 定义 该 用 户 在 这 个 分 区 上 能 建立 几 个 文件 。 

blocks 和 inodes 表示 (user dai) 用 户 dai 在 (fileyserm /dev/sdb3) dev/sdb3 分 区 上 能 够 使 
用 (blocks) 数 据 库 的 数量 和 (inodes) 节 点 的 数量 ， 它 们 都 有 两 个 限制 : soft( 软 限制 ， 软 限制 是 
可 以 超过 的 ， 以 字 节 为 单位 ) 和 hard( 硬 限制 ， 硬 限制 是 任何 时 候 都 不 能 超过 的 ， 如 果 达 到 
硬 限 制 设 置 的 数值 就 再 也 不 能 写 数据 了 )。 

对 dai 用 户 进行 磁盘 配额 ， 只 允许 用 户 使 用 4MB 大 小 的 磁盘 空间 ， 只 能 建立 6 个 文 
件 ， 配 置 结构 如 图 6-41 所 示 。 


图 6-41 用 户 dai 的 磁盘 配额 


现在 已 经 配置 完成 ， 可 以 进行 测试 ， 代 码 如 下 。 


// 经 查看 LVM 目录 下 没有 任何 文件 

[root@localhost ~]# 1s /mnt/LVM/ 

aquota.group aquota.user lost+found 

// 建 立 目录 dai 

[root@localhost ~]# mkdir /mnt/LVM/dai 

// 把 目录 的 所 有 者 改 成 用 户 dai 

[root@localhost ~]# chown dai /mnt/LVM/dai 

// 使 用 dai 用 户 登 录 

root@localhost ~]# su dai 

dai@localhost root]$ cd /mnt/LVM/dai 

// 查 看 自己 的 配额 情况 ， 已 经 使 用 了 一 个 数据 块 和 一 个 文件 ， 因 为 dai 目录 的 所 有 者 是 用 户 dai， 
// 所 以 其 也 在 配额 中 

dai@localhost dai]$ quota 

Disk quotas for user dai (uid 500): 

Filesystem blocks quota limit grace files quota limit grace 
/dev/mapper/vg0-data 1 2048 4096 1 4 6 
dai@localhost dai]$ 1s -1d 

Grrr Xr 2 dE Oot 1024 2 月 3 T1516 2 

dai@localhost dail]$ 
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建立 几 个 文件 ， 代 码 如 下 。 

[dai@localhost dail]$ dd if=/dev/zero of=file6 bs=1k count=1024 
dd: 正在 写 入 “file6”: 超出 磁盘 限额 

读 入 了 1+0 个 块 

输出 了 0+0 个 块 

[dai@localhost dail]$ 1s 

filel file2 file3 file5 fileé6 


使 用 dd if=/dev/zero of=filel bs=1k count=1024 进行 测试 ， 该 命令 的 意思 为 在 zero 文件 
ph 读数 据 到 filel 文件 中 ， 每 次 读 1KB， 文 件 长 度 为 1024B。 
使 用 quota 命令 进行 检查 ， 代 码 如 下 。 


n 


[dai@localhost dail]$ quota 
Disk quotas for user dai (uid 500): 


Filesystem blocks quota limit grace files quota limit 
grace 
/dev/mapper/vg0-data 4096* 2048 4096 6x* 4 6 


[dai@localhost dail]$ 


可 以 看 到 文件 块 已 经 达到 硬 限制 ， 并 且 文 件数 量 也 达到 了 硬 限制 ， 再 也 不 能 向 dai 目 
录 写 入 数据 和 建立 文件 了 ， 如 图 6-42 所 示 。 


图 6-42 ”磁盘 限额 的 作用 
此 时 磁盘 配额 已 经 配置 结束 ， 可 以 使 用 管理 员 身 份 查 看 配置 情况 ， 如 图 6-41 所 示 。 
目前 系统 中 只 有 两 个 用 户 ， 每 个 用 户 的 磁盘 配额 情况 如 图 6-43 所 示 。 用 户 组 的 磁盘 配 
额 和 用 户 的 配置 一 样 ， 这 里 不 再 袭 述 。 


图 6-43 ”所 有 用 户 的 磁盘 限额 信息 
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一 、 填 空 题 
.RAID 技术 的 中 文 意思 是 . 

整个 RAID 通过 对 磁盘 进行 组 合 达到 、 减 少 的 目的 。 
. RAID 0+1 是 指 将 和 结合 起 来 。 


.Linux 下 的 RAID 管理 工具 是 
.Linux 下 的 RAID 设备 的 表示 名 称 是 
. 建立 磁盘 配额 数据 库 文件 的 命令 是 

二 、 问 答题 

1. 磁盘 阵列 技术 出 现 的 目的 是 什么 ? 

2. RAID 0 和 RAID 1 有 什么 区 别 ? 各 有 什么 特点 ? 

3. 如 图 6-44 所 示 ， 可 以 看 出 是 RAID 5 技术 ， 图 中 有 几 个 硬盘 ? 哪些 是 活动 的 ? 哪些 
是 备份 的 ? RAID 5 的 使 用 容量 是 多 少 ? 


mwb 一 
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4.LVM 逻辑 卷 产生 的 目的 是 什么 ? 
5.LVM 逻辑 卷 有 哪些 属性 ? 分别 是 什么 ? 
6. 什么 是 磁盘 配额 的 软 限制 和 硬 限制 ? 
7.LVM 逻辑 卷 产生 的 目的 是 什么 ? 
8. 如 图 6-45 所 示 ， 软 限制 和 硬 限 制 是 多 少 ? 后 面 的 4 和 6 是 什么 意思 ? 


| 入 
f Linux 操作 与 服务 器 配置 实用 教程 
/ 


6-45 8 题 信息 


三 、 上 机 实 训 

根据 公司 的 信息 安全 建设 要 求 ， 为 了 保证 公司 业务 数据 库 安全 ， 提 高 容错 能 力 和 存储 
空间 的 可 扩容 性 ， 需 要 对 公司 新 的 的 服务 器 进行 规划 ， 该 服务 器 共有 6 块 100G 的 硬盘 提 
供 使 用 。 

需求 描述 : 

由 于 系统 24 小 时 不 间断 运行 ， 对 系统 的 稳定 性 和 可 靠 性 要 求 很 高 。 在 不 增加 硬盘 的 
前 提 下 ， 保 证 操作 系统 、 应 用 软件 等 安全 可 靠 性 要 求 高 的 软件 能 够 做 到 有 备份 ， 数据 库 
等 大 量 的 数据 能 够 有 足够 大 的 硬盘 容量 供 使 用 。 

实现 思路 : 

考虑 使 用 RAID 1 模式 相 结合 的 方式 实现 系统 备份 。2 块 硬盘 做 RAID 1， 用 来 安装 对 
安全 可 靠 性 要 求 很 高 的 操作 系统 及 相关 软件 ,示意 图 如 下 ， 但 是 数据 的 读 取 速 度 会 受到 影 
响 ， 因 为 数据 要 一 边 写 一 边 备份 ，RAID 1 的 优点 是 即使 一 个 硬盘 出 现 问 题 也 不 会 对 整个 
数据 造成 损害 ， 从 而 满足 了 需求 对 系统 稳定 性 和 可 靠 性 的 要 求 。 


剩 下 的 4 块 100G 硬盘 做 RAID 5， 专 门 用 来 存放 数据 ， 其 中 三 块 做 RAID 5 另外 一 块 
做 备份 设备 ， 如 果 RAID 5 中 的 三 块 硬盘 中 有 一 块 坏 损 ， 则 备份 硬盘 自动 替换 。 这 样 就 能 
满足 需求 大 容量 硬盘 的 要 求 ， 
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学 习 目的 与 要 求 : 

Linux 操作 系统 具有 强大 的 网 络 功能 ， 它 不 仅 比 Windows 系统 具有 较 高 的 安全 性 ， 而 
且 几 乎 可 以 设置 成 所 有 的 网 络 服务 。 本 章 主 要 向 读者 介绍 基本 的 TCP/IP 网 络 知识 、 网 络 服 
务 器 配置 和 Linux 网 络 配置 的 文件 及 工具 ， 让 读者 可 以 简单 地 配置 Linux 系统 下 的 网 络 。 

通过 对 本 章 的 学 习 ， 读 者 应 该 做 到 以 下 几 点 。 


熟悉 OSI 七 层 模型 和 TCP/IP 四 层 模型 。 

了 解 4 层 模型 每 次 大 概 有 哪些 协议 和 每 一 层 数 据 封装 的 过 程 。 

熟悉 Linux 下 网 络 配置 文件 所 在 的 位 置 、 名 称 及 作用 。 
熟悉 相关 的 网 络 概念 ， 包 括 网 络 接口 、 卫 地 址 、DNS 的 解析 、 地 址 转换 等 。 
熟练 使 用 命令 配置 以 太 网 络 。 
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7.1 TCP/IP 网 络 基础 


7.1.1 OSI 参考 模型 


早期 由 于 具有 不 同 分 层 结构 和 不 同 协议 的 网 络 体系 结构 不 断 出现 ， 使 得 这 些 不 相同 的 
网 络 结构 很 难 进行 相互 连接 和 相互 通信 ， 为 此 国际 标准 化 组 织 ISO) 在 1985 年 的 时 候 ， 制 
定 了 开放 系统 互 连 的 7 层 参 考 模型 (RM)， 即 ISO/OSI 网 络 体系 结构 。 它 只 是 提供 了 概念 上 
和 功能 性 的 主体 结构 ， 是 一 种 开放 式 系统 互联 的 基本 模型 ， 而 不 是 实际 的 标准 规范 。 它 将 
网 络 分 为 7 层 ， 即 物理 层 (Physical LayeD、 数 据 链 路 层 (Data Link Layer)、 网 络 层 (Network 
Layer)、 传 输 层 (Transport Layer)、 会 话 层 (Session Layer)、 表 示 层 (Presentation Layer)、 应 用 
层 (Application Layer)， 见 表 7-1。 


表 7-1 OSI 七 层 模型 的 功能 


名 称 功 能 
物理 层 负责 传输 比特 流 信号 并 实现 两 台 计算 机 之 间 的 物理 连接 
数据 链 路 层 控制 网 络 层 与 物理 层 之 间 的 通信 
网 络 层 负责 实现 网 络 间 信 息 的 中 间 转 发 和 路 径 选择 
传输 层 负责 提供 从 一 台 计算 机 到 另 一 台 计算 机 的 可 靠 数 据 传 输 
会 话 层 负责 建立 和 终止 网 络 的 数据 传输 并 实现 物理 地 址 的 转换 
表示 层 指定 一 特定 数据 的 编码 、 表 示 规 范 
应 用 层 负责 提供 用 户 操作 的 界面 


7.1.2 TCP/IP 网 络 模型 


TCP/IP 网 络 模型 是 Internet 所 采用 的 基本 模型 ， 是 当前 使 用 最 广泛 的 网 络 模型 。 
TCP/IP 网 络 模型 分 为 接 入 网 层 (Host Net Layer)、 网 间 网 络 层 (Inter -Network Layer)、 传 输 层 
(Transport Layer)、 应 用 层 (Application Layer)4 层 并 和 OSI 的 7 层 模 型 有 一 定 的 对 应 关系 ， 
如 图 7-1 所 示 。 


OSI 参考 模型 TCP/IP 
应 用 层 | 
表示 层 | 应 用 层 
会 话 层 | 
传输 层 |<___W| 传输 层 
物理 层 | 物理 层 
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表 7-2 描述 了 TCP/IP 网 络 模 型 各 层 的 功能 。 


表 7-2 TCPI/IP 网 络 模型 各 层 的 功能 


层 次 功 能 
负责 数据 的 实际 传输 ， 相 当 于 OSI 参考 模型 中 的 下 两 层 。 
接 入 网 层 TCP/IP 模型 对 该 层 很 少 定 义 具体 协议 ， 它 依赖 于 早期 的 协议 
传输 数据 
负 ， 相 = 参 
网 间 网 层 li 相当 于 OSI 参考 模型 中 的 第 
传输 层 负责 提供 可 靠 的 传输 服务 ， 相 当 于 OSI 参考 模型 中 的 第 四 层 
应 用 层 负责 实现 一 切 与 应 用 程序 相关 的 功能 ， 相 当 于 OSI 参考 模型 


7.1.3 使 用 的 协议 


中 的 上 三 层 


表 7-3 列 出 了 TCP/IP 模型 中 各 层 使 用 的 一 些 常 用 协议 及 服务 。 


表 7-3 TCP/IP 模型 各 层 使 用 的 协议 及 服务 


层 次 协 议 服 务 
HDLC( 统 计 链 路 控制 ) 面向 点 到 点 的 链 路 传输 
接 入 网 层 PPP( 点 到 点 协议 ) 在 串 行 接口 上 ， 用 于 点 到 点 的 数据 传输 
SLIP ( 串 行 线路 接口 协议 ) 在 串 行 接口 上 ， 用 于 点 到 点 的 数据 传输 
IP( 网 际 协议 ) 提供 主机 之 间 的 报 文 分 组 传递 服务 
ICMP( 网 际 报 文 控制 协议 ) 控制 主机 与 网 关 之 间 的 差错 并 控制 报 文 的 传输 
网 间 网 层 RIP( 路 由 选择 协议 ) 用 于 网 络 设备 之 间 交 换 路 由 信息 
ARP (地 址 转换 协议 ) 将 他 地 址 映射 为 网 络 地 址 
RARP( 反 向 地 址 转换 协议 ) 将 物理 地 址 映射 为 网 络 地 址 


TCP (传输 控制 协议 ) 


提供 可 靠 的 、 面 向 连接 的 数据 流传 递 服务 


传输 层 。 UDB (用 户 数据 报 协议 ) 提供 不 可 靠 的 、 无 连接 的 报 文 分 组 传递 服务 
FTP (文件 传输 协议 ) 用 于 实现 互联 网 中 交互 式 文件 传输 
Teinet( 远 程 登录 协议 ) 用 于 实现 互联 网 中 的 远程 登录 功能 
SMTP( 简 单 邮件 传输 协议 ”| 用 于 实现 互联 网 中 的 电子 邮件 传输 

应 用 层 ”| HTTP( 超 文本 传输 协议 ) 用 于 实现 互联 网 中 的 WWW 服务 
DNS( 域 名 服务 ) 用 于 实现 主机 名 和 IP 地 址 的 映射 
NFS (网 络 文件 系统 ) 用 于 实现 不 同 主机 间 的 文件 共享 
SMB (服务 信息 块 ) 用 于 实现 Windows 和 Linux 主机 问 的 文件 共享 

7.1.4 ”数据 封装 


当 用 户 数据 从 高 层 发 送 给 低层 时 ， 每 层 协议 要 对 数据 进行 处 理 ， 在 数据 的 前 后 添加 各 
自 的 控制 信息 ， 然 后 再 将 它们 作为 一 个 整体 传送 给 下 一 层 ， 每 一 层 都 将 把 上 一 层 接收 到 的 
全 部 信息 作为 自己 的 数据 进行 处 理 。 这 种 在 用 户 数据 前 后 添加 控制 信息 的 过 程 称 为 数据 包 
的 封装 。 以 TCP/IP 参考 模型 为 例 ， 数 据 封 装 (Data Encapsulation) 如 图 7-2 所 示 。 
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图 7-2 不 同 协议 层 的 数据 处 理 
数据 包 在 第 一 层 被 添加 上 应 用 层 控制 信息 ， 然 后 传送 到 传输 层 ， 在 传输 层 被 添加 上 传 
输 层 的 控制 信息 传输 到 下 一 层 ， 直 到 数据 包 到 接 入 网 层 添加 控制 信息 后 传送 到 另 一 台 设 备 
上 。 接 受 该 数据 包 的 设备 对 传输 来 的 数据 包 进行 解 封装 ， 也 就 是 解除 数据 的 控制 信息 ， 直 


到 应 用 层 用 户 对 数据 进行 处 理 。 
7.1.5 TCP/IP 网 络 相关 概念 
1. 网 络 接口 


现实 的 网 络 环境 是 多 种 多 样 的 。 为 了 灵活 地 使 用 各 种 不 同 的 网 络 ，TCP/IP 定义 了 简单 
的 硬件 接口 ， 这 些 接口 为 不 同 的 硬件 设备 收发 数据 包 提 供 了 一 套 相同 的 操作 ， 以 隐藏 物理 
网 络 之 间 的 异同 性 。 在 网 络 中 使 用 的 每 一 个 外 围 的 网 络 接口 ， 在 Linux 核心 中 都 有 相应 的 
名 称 。 表 7-4 列 出 了 一 些 比 较 常 见 的 用 户 比 较 熟 悉 的 硬件 设备 和 与 它们 密切 相关 的 设备 接 


口 名 。 
表 7-4 设备 接口 名 
接口 设备 说 明 
本 地 回环 接口 ， 用 于 网 络 软件 测试 及 本 地 主机 进程 间 通信 。 无 论 什么 程序 ， 一 旦 使 用 回 
lo 环 地址 发 送 数据 包 ， 协 议 软件 立即 将 其 返回 ， 不 进行 任何 网 络 传输 。 在 Linux 中 ， 回 环 
设备 已 被 默认 
ethn 第 n 个 以 太 网 接口 (n 为 0 时 ， 表 示 第 一 块 ， 以 此 类 推 )， eth 是 大 多 数 网 卡 的 设备 接口 名 


2. IP 地 址 和 域名 

在 Intermet 上 ， 如 果 一 台 主 机 与 男 一 台 主 机 进行 通信 ， 就 需要 有 一 个 标示 来 为 这 台 主 
机 作 唯 一 编号 ， 这 个 标示 就 称 为 瑟 地 址 。 卫 地 址 用 32 位 的 二 进 制 数 字 来 表示 ， 通 常 将 其 
用 4 组 8 位 二 进 制 数 表示 ， 每 个 数字 间 用 “.” 间 隔 。 例 如 ， 用 X.X.X.X 格式 表示 ，X 为 由 
8 位 二 进 制 数 转换 而 来 的 十 进 制 数 ， 其 值 在 0 一 255 之 间 ， 如 202.106.0.20， 这 种 格式 的 地 
址 也 称 为 点 分 十 进 制 地 址 。 

为 了 在 复杂 的 Intemet 网 络 中 更 快 地 找到 另 一 台 计 算 机 ， 卫 采用 了 分 级 寻 址 的 方案 。 


x nuxmgsm 1 只 


传统 的 分 级 寻 址 方法 是 把 一 个 人 P 地 址 分 为 两 个 部 分 : 一 部 分 为 网 络 位 ， 另 一 部 分 是 主机 
位 。 网 络 位 通常 表示 一 个 主机 所 在 的 网 络 区 域 ， 而 主机 位 则 表示 本 区 域内 唯一 的 一 台 主 
机 。 根 据 网 络 位 和 主机 位 的 划分 方法 不 同 ， 将 下 地 址 分 为 A、B、C、D 和 EE 类 地址 。 
其 中 A、B、C 类 人 P 地 址 是 正常 的 人 P 地 址 ， 它 们 的 情况 见 表 7-5， 其 余 两 类 使 用 较 少 ，D 
类 用 于 群 组 广播 使 用 ，E 类 被 保留 。 


表 7-5 正常 的 IP 地 址 分 类 


别 网 络 位 所 占 的 位 数 主机 位 所 占 的 位 数 
太 8 24 126 16387064 
B 16 16 16256 | 64516 


8 2064512 254 


按照 分 级 寻 址 的 方案 ， 将 整个 PP 地 址 空间 做 人 为 划分 ，L2 的 人 P 地 址 给 了 A 类 地 
址 ，1/4 的 他 地 址 给 了 B 类 地 址 ，1/8 的 他 地 址 给 了 C 类 地 址 。 剩 下 的 一 半 给 了 D 类 地 址 
作 群 组 广播 地 址 ， 另 一 半 保 留 ， 见 表 7-6。 


表 7-6 IP 地 址 分 配 
三 进 制 起 始 位 IP 地 址 范围 
lo | 


0.0.0.0~127.255.255.255 


| | 128.000~191255. 


[ln |192.0.0.0~233.255.255.255 
[uo | 224.0.0.0~239.255.255.255 


240.0.0.0~255.255.255.255 


在 地 址 的 每 字 节 中 ， 通 常 0 和 255 均 不 分 配给 具体 的 主机 ， 作 用 网 络 标示 地 址 和 广播 
地 址 ，127.X.X.X 这 样 的 地 址 作 回环 用 ， 通 常 作为 同一 主机 的 各 网 络 进程 之 间 的 通信 ， 也 
不 分 配给 具体 主机 。 

为 了 解决 PP 地 址 不 足 的 问题 ,人 P 协议 规定 了 一 些 保留 的 人 P 地 址 专门 用 于 私有 网 络 ， 
它们 不 会 在 Internet 中 的 任何 部 分 出 现 ， 见 表 7-7。 


表 7-7 私有 网 络 使 用 的 ip 地 址 


10.X.X.X 


172.16.X.X~172.32.X.X 


192.168.X.X~192.168.255.X 


当 私 有 网 络 要 与 Intemet 公 网 连接 时 ， 只 需 在 连接 处 进行 NAT(Network Address 
Translation， 网 络 地 址 转换 )， 或 使 用 代理 服务 器 即 可 让 私 网 内 的 用 户 连接 到 外 网 。 

数字 人 P 地 址 不 容易 记忆 ， 所 以 采用 了 域名 来 描述 人 P 地 址 。 例 如 ，202.33.102.6 的 正 
地 址 可 以 用 test.dat.com 域名 来 表示 。 域 名 的 每 一 部 分 有 独立 的 含义 。 为 了 实现 人 P 地 址 与 
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域名 之 间 的 映射 ， 就 需要 使 用 DNS(Down Name Server)， 它 使 用 一 种 分 层 的 分 布 式 数据 
库 ， 来 处 理 Internet 上 成 千 上 万 的 主机 和 也 地 址 的 转换 。 


3. 地 址 转换 和 反 转 换 


在 广域网 中 使 用 IP 地 址 来 鉴别 主机 ， 它 由 4B 的 32 位 二 进 制 数组 成 ， 而 在 以 太 网 上 
是 使 用 48 位 (6B) 字 节 的 物理 地 址 来 鉴别 主机 的 ， 如 何 实现 二 者 之 间 的 转换 是 本 节 的 内 容 。 

卫 地 址 和 路 由 表 将 数据 包 引 向 一 个 特定 的 物理 网 络 ， 但 是 当 数 据 传输 时 ， 它 必须 遵循 
该 网 络 所 使 用 的 物理 层 协 议 。 作 为 TCP/IP 网 络 底层 的 物理 层 并 不 能 识别 人 P 地 址 ， 它 有 自 
己 的 寻 址 方案 ， 网 络 访问 协议 的 一 个 重要 任务 就 是 将 人 P 地 址 映射 为 物理 地 址 。 

IP 地 址 与 以 太 网 地 址 之 间 的 关系 就 是 网 络 访问 层 功能 的 最 普遍 例子 。 执 行 这 一 动作 的 
协议 就 是 地 址 转换 协议 (Address Resolution Protocol，ARP)。 

ARP 的 核心 就 是 广播 ， 想 要 查寻 目的 IP 地 址 所 对 应 的 物理 地 址 ， 只 需要 在 网 络 上 广 
播 目的 瑟 地 址 。 所 有 计算 机 都 能 收 到 广播 ， 但 是 只 有 被 查找 的 计算 机 发 出 回应 ， 告 知 所 查 
IP 地 址 对 应 的 物理 地 址 。 

单 靠 广播 还 是 具有 很 多 弊端 的 ， 因 为 频率 广播 会 造成 网 络 拥塞 。 为 了 解决 这 一 问题 ， 
ARP 实现 了 Cache( 高 速 缓冲 存储 器 ) 的 方法 ，Cache 将 最 近 用 过 的 瑟 地 址 和 物理 地 址 的 对 
应 关系 放 在 缓冲 中 。 主 机 发 送 IP 地 址 的 查询 请 求 之 前 先 查 看 Cache， 能 从 Cache 中 解析 的 
就 不 再 进行 广播 ， 从 而 大 大 减少 了 网 络 流量 。 

ARP Cache 有 动 和 静 之 分 ， 静 态 cache 是 管理 员 手动 添加 到 卫 和 物理 地 址 的 喘 射 关 
系 ， 动 态 Cache 是 计算 机 利用 广播 查询 到 的 。 

反 向 ARP(Reverse ARP) 的 功能 与 ARP 正好 相反 ， 它 是 将 已 经 知道 的 物理 地 址 解析 为 
卫 地址， 无 盘 工 作 站 不 存在 自己 的 人 P 地 址 ， 但 是 它 的 网 卡 上 有 物理 地 址 ， 在 启动 时 利用 
RARP 协议 广播 自己 的 物理 地 址 。 网 络 上 的 RARP 服务 器 会 依次 查询 ， 告 诉 无 盘 工 作 站 对 
应 的 人 P 地 址 ， 这 样 无 盘 工 作 站 就 可 以 获得 自己 的 了 P 地 址 并 继续 引导 。RARP 服务 器 用 一 
张 表 格 来 进行 解析 ， 这 张 表格 中 存放 着 已 知 的 物理 地 址 与 瑟 地 址 的 映射 关系 。 

4. 端 到 端 连接 

经 常会 遇 到 这 样 的 情况 ， 一 台 服 务 器 在 使 用 TCP/IP 协议 的 同时 为 客户 提供 各 种 服 
务 ， 如 WWW 服务 、Telnet 服务 、FTP 服务 等 ， 而 在 一 台 客 户 机 上 也 可 以 同时 使 用 TCPAP 
协议 申请 各 种 不 同 的 服务 ， 甚 至 同时 申请 多 个 相同 的 服务 。 例 如 ， 使 用 浏览 器 打开 多 个 页 
面 ， 使 用 FTP 工具 下 载 多 个 文件 。 那 么 如 何 确定 服务 器 将 哪 部 分 数据 发 给 哪个 用 户 ， 而 用 
户 又 如 何 知 道 哪 部 分 数据 是 发 给 自己 的 呢 ? 这 些 都 是 由 TPC/IP 协议 通过 建立 端 到 端的 连 
接 来 实现 的 。 

服务 器 提供 的 每 一 个 服务 都 要 运行 一 个 进程 ， 而 客户 每 申请 一 次 服务 也 要 运行 一 个 进 
程 ， 那 么 如 何 区 别 进行 数据 传输 的 不 同 进程 或 者 说 区 别 不 同 的 连接 呢 ? 实际 上 只 需 给 确定 
的 连接 加 一 个 表示 即 可 。 对 于 TCP/IP 协议 来 说 ， 这 种 表示 就 称 为 “端口 号 ”(Port 
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Number)， 端 口号 用 一 个 16 位 的 二 进 制 数 来 表示 ， 也 就 是 说 端口 号 的 范围 是 0 一 65535。 将 
这 些 数值 分 为 3 个 部 分 ， 低 于 256 的 端口 号 是 留 给 知名 服务 的 知名 端口 (Well-known 
Port)， 如 WWW、FTP、Telnet 等 。 从 256 一 1024 的 端口 号 用 于 Unix/Linux 的 专用 服务 (但 
是 现在 大 多 数 服务 已 经 不 再 是 Unix/Linux 所 专 有 的 了 )。 

以 上 两 类 端口 号 都 是 标准 化 的 ， 它 使 得 远程 主机 知道 连接 到 哪 一 个 端口 号 ， 并 可 以 得 
到 特定 的 网 络 服 务 ， 这 样 就 简化 了 连接 过 程 。 因 此 发 送 方 和 接受 方 都 明确 地 知道 ， 与 特定 
的 网 络 服务 相关 的 数据 库 将 使 用 特定 的 端口 号 。 例 如 ，Telnet 使 用 端口 23 提供 服务 。 

Linux 系统 中 的 端口 号 是 由 /etc/servers 文件 定义 的 。 表 7-8 列 出 了 常用 的 标准 端口 。 


表 7-8 常用 的 TCP 标准 端口 


服务 名 称 默认 端口 
DNS 53 
FTP 20、21 
SMTP 25 
POP3 110 
WWW 80 
Telnet 23 


大 于 1024 的 端口 用 于 端口 的 动态 分 配 ， 动 态 分 配 端口 并 不 是 预先 分 配 的 ， 必 要 时 才 
将 它 分 配给 进程 。 系 统 确保 不 会 将 同一 个 端口 号 赋予 两 个 进程 ， 而 且 赋 予 的 端口 号 高 于 
1024。 一 个 IP 地 址 和 一 个 端口 号 的 组 合 称 为 “ 套 接 字 ”(Socket)， 它 为 进程 之 间 的 通信 提 
供 了 方法 。 一 个 套 接 字 可 以 唯一 标识 整个 Intemet 中 的 一 个 网 络 进程 ， 一 对 套 接 字 ( 一 个 用 
于 接收 主机 ， 一 个 用 于 发 送 主 机 ) 可 以 定义 面向 连接 协议 的 一 次 连接 。 

接 下 来 看 一 个 动态 分 配 端口 号 和 知名 端口 号 的 例子 。 假 设 主机 A(202.106.0.6) 和 主机 
B(202.106.0.9) 建 立 了 一 个 远程 连接 的 请 求 ， 如 图 7-3 所 示 。 


主机 A 主机 B 


TCP/IP 连 接 


7-3 ”主机 间 的 通信 过 程 
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建立 连接 的 过 程 如 下 。 首 先 A 主机 的 Telnet 进程 A 请 求 建立 一 个 Socket( 动 态 分 配 端 
口 ) 的 通信 端点 。 在 建立 Socket 的 过 程 中 ， 在 本 主机 请 求 了 一 个 独占 的 TCP 端口 ， 动 态 分 
配 的 端口 号 是 26530， 称 为 原 端口 。 然 后 向 主机 B 的 Telnet 服务 器 进程 端口 23 发 送 连接 
请 求 ， 当 请 求 成 功 后 ， 主 机 A 就 与 主机 B 建立 了 一 个 确定 是 TCP 的 连接 。 一 个 确定 的 端 
到 端的 TCP 连接 由 4 项 参数 决定 : 原 主机 的 他 地 址 、 原 主机 的 端口 号 、 目 的 主机 的 卫 地 
址 和 目的 主机 的 端口 号 。 这 样 就 可 以 区 分 开 不 同 用 户 进程 的 数据 。 假 设 主机 A 又 向 主机 B 
请 求 了 另 一 个 Telnet 连接 ， 则 主机 A 在 其 本 地 又 动态 分 配 了 一 个 端口 号 29840， 虽 然 这 两 
次 有 3 个 参数 都 相同 ， 但 是 远 端 口号 不 同 ， 所 以 标示 着 两 个 不 同 的 TCP 连接 。 由 于 连接 被 
区 分 开 了 ， 所 以 发 往 各 自 的 数据 也 就 被 区 分 了 。 


7.2 TCP/IP 网 络 配置 


Linux 作为 一 个 日 趋 成 熟 与 流行 的 操作 系统 ， 最 大 的 优势 在 于 开源 。 实 际 上 Linux 的 
商业 应 用 定位 在 中 低档 网 络 服务 器 市 场 。 作 为 一 个 与 Unix 兼容 的 操作 系统 ，Linux 集成 了 
Unix 的 开放 性 、 兼 容 性 、 稳 定性 及 安全 性 等 优点 ， 再 加 上 适当 的 服务 器 端 软 件 ， 可 以 用 非 
常 低 的 成 本 满足 绝 大 多 数 的 网 络 应 用 ， 表 7-9 给 出 了 运行 于 Linux 系统 下 的 常用 网 络 服务 
器 软件 。 


表 7-9 常用 网 络 服务 器 软件 


服务 类 型 软件 名 称 
Web 服务 Apache 
Sendmain 
Mail 服务 Postfix 
Qmail 
VSFTP 
FTP 服务 WU-FTP 
PROFTP 
DNS 服务 BIND 
MySQL 
PostereSQL 
DB 服务 i 
Oracle 


7.2.1 TCP/IP 配置 文件 


1. Red Hat Linux 中 的 TCP/IP 配置 文件 

Linux 系统 中 ，TCP/IP 网 络 是 通过 若干 个 文本 文件 进行 配置 的 ， 这 些 配 置 文件 都 可 以 
通过 vi、Webmin 来 进行 修改 配置 ， 表 7-10 列 出 了 Red Hat 中 的 配置 TCP/IP 网 络 使 用 的 配 
置 文件 。 


配置 文件 名 


x nuxmga 1 愉 


表 7-10 TCPIIP 配置 文件 


功能 说 明 


/etc/sysconfig/network 


包含 了 主机 最 基本 的 网 络 信息 ， 用 于 系统 启动 


/etc/sysconfig/network-script 


此 目录 下 就 是 系统 启动 时 用 来 初始 化 网 络 的 一 些 信息 。 例 如 ， 第 


一 块 以 太 网 接口 的 文件 为 ifcfg-eth0 
/etc/xinetd.conf 定义 了 由 超级 进程 xinetd 启动 的 网 络 服务 
/etc/hosts 完成 主机 名 映射 为 IP 地 址 的 功能 
/etc/host.conf 配置 域名 服务 客户 端的 控制 文件 
/etc/resolv.conf 配置 域名 服务 客户 端的 配置 文件 ， 用 于 指定 域名 服务 器 的 位 置 
/etc/protocols 设 定 了 主机 使 用 的 协议 及 各 个 协议 的 协议 号 
/etc/service 设 定 主机 不 同 端口 的 网 络 服务 


2. 安装 网 络 接口 设备 


要 配置 Linux 的 TCP/IP 网 络 ， 首 先 要 安装 网 络 接口 设备 。 下 面 以 常用 的 以 太 网 络 接口 


为 例 进行 说 明 。 


在 Linux 中 第 一 块 以 太 网 卡 设备 名 为 eth0， 以 后 依次 类 推 为 ethl1、eth2...， 但 网 卡 并 


不 是 作为 裸 设备 出 现 于 /dev 下 的 ， 而 是 内 核 在 引导 时 在 内 存 中 建立 的 ， 这 就 是 说 应 该 在 系 
统 引导 时 自动 设置 网 卡 ，Linux 默认 采用 内 核 模块 的 方式 在 系统 引导 时 设 定 网 卡 。 当 然 如 
果 清 楚 地 知道 自己 的 网 卡 类 型 ， 也 可 以 把 相应 的 网 卡 驱动 编译 进 内 核 ， 所 以 当选 择 网 卡 
时 ， 应 该 选择 Linux 支持 的 品牌 。 在 /ust/doc/HOWTO/Ethemet-HOWTO 中 列 出 了 Linux 支 
持 的 各 类 以 太 网 卡 的 完整 列表 ， 仔 细 阅 读 该 文档 可 以 获得 有 关 网 卡 安装 和 使 用 的 详细 的 操 


作 知 识 。 


用 户 也 可 以 在 /lib/modules/release/kernel/drivers/net 目录 下 找到 可 以 装 入 的 驱动 ， 


release 是 内 核 的 版 本 号 ， 如 图 7-4 所 示 ， 在 系统 中 显示 如 下 。 


图 7-4 包含 的 网 卡 驱动 程序 


对 于 在 安装 Linux 过 程 中 没有 配置 网 络 ， 而 事后 又 需要 配置 安装 网 卡 的 用 户 来 说 ， 启 
动 过 程 会 自动 检测 到 新 的 网 卡 设备 ， 并 装载 适用 的 以 太 网 设备 的 驱动 模块 。 
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7.2.2 使 用 图 形 工具 配置 以 太 网 络 
1. 使 用 图 形 工具 配置 以 太 网 


很 多 发 布 版 本 的 Linux 操作 系统 提供 友好 的 图 形 工具 ， 用 于 系统 配置 。 例 如 ，redhat- 


config-network 是 Red Hat Linux 提供 的 一 个 图 形 界面 网 络 配置 工具 。 使 用 该 配置 工具 ， 可 
以 配置 各 种 网 络 连接 ， 单 击 系统 管理 中 的 网 络 图 标 ， 将 进入 如 图 7-5 所 示 的 界面 。 


RND EN 


7-5 ”图 形 网 络 配置 界面 


工具 栏 上 的 “新 建 ”按钮 ， 在 打开 的 “选择 以 太 网 设备 ”窗口 中 选择 “以 太 网 卡 ” 
选项 ， 然 后 单 击 “ 前 进 ” 按 钮 ， 如 图 7-6 所 示 。 如 果 列表 中 没有 以 太 网 设备 ， 则 选择 “其 他 
以 太 网 卡 ”选项 来 添加 硬件 设备 ， 打 开 如 图 7-7 所 示 的 “选择 以 太 网 适配器 ”窗口 。 


单 


者 


选择 以 太 网 设备 


ETEEEEEY 日 


选择 以 太 网 适配器 


RE : [3com xcso1 


ao: [em | 


EE 


ECE Ne 


[Xo | [naw | 


图 7-6 选择 以 太 网 卡 图 7-7 其 他 网 卡 配 置 


选择 该 以 太 网 的 制造 商 和 型 号 ， 选 择 该 设备 的 名 称 。 如 果 它 是 系统 的 第 一 个 以 太 网 
卡 ， 把 eth0 选 作 设备 名 ， 如 果 它 是 第 二 个 以 太 网 卡 ， 把 ethl 选 作 设备 名 ， 以 此 类 推 ， 还 
允许 配置 NIC 的 资源 ， 配 置 后 单 击 “前 进 ” 按 钮 继续 。 

如 果 在 图 7-6 中 选择 已 有 的 以 太 网 卡 ， 单 击 “ 前 进 ” 按 钮 ， 打 开 如 图 7-8 所 示 的 “ 配 
置 网 络 设置 ”。 可 以 配置 动态 获得 瑟 地 址 还 是 手动 输入 ， 配 置 好 后 单 避 


#“ 前 进 ” 按 钮 。 配 
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置 完 成 的 以 太 网 设备 列表 如 图 7-9 所 示 。 


E ET EE 


EE 


| 5 ss 
BO  % 
汪 了 | 
设 务 0 酝 闻 人) | Psec | DNS | 于 届 @) 
量 全 可 在 此 二 看 与 可 件 这 99PH 刘 各 。 皇 个 如 他 

| 上 可 克朗 才 与 之 四 村 

| 有 配 村 六 状 去 设备 别名 bid 

全 者 澡 设 时 的 请 地 址 ; | 如 

| IM 

MD: [ETE 

FARMG): [2 
| WD: [Wop31 
Daaanmua:p 同 | 
[Xmno| [S55] |%mae | | 
图 7-8 配置 IP 地 址 图 7-9 配置 完成 的 以 太 网 设备 


刚 添 加 的 以 太 网 设备 是 没有 被 激活 的 。 如 果 想 激活 该 设备 ， 单 击 工具 栏 中 的 “激活 ” 
按钮 即 可 ， 添 加 的 以 太 网 卡 经 过 上 述 配置 会 生成 配置 文件 ， 存 放 在 /etc/sysconfig/network- 
script/ifcfg-ethl 中 ， 如 果 要 使 设备 生效 ， 可 以 用 命令 service network restart 重启 网 络 。 


2. 使 用 设备 的 别名 


设备 的 别名 与 一 个 物理 网 络 硬件 设备 相关 联 ， 与 同一 物理 硬件 相关 联 的 设备 别名 能 够 
同时 被 激活 ， 并 拥有 不 同 的 他 地 址 。 设 备 别名 通常 使 
用 设备 名 、 冒 号 和 数字 来 代表 (如 eth0:1)， 设 备 的 别名 
用 于 给 一 个 网 卡 配置 多 个 他 地 址 。 

为 了 配置 设备 的 别名 ， 首 先 确保 已 经 正确 配置 了 


以 太 网 设备 (如 eth0) 


， 要 使 用 静态 IP 地 址 (dhcp 自动 获 


取 卫 地 址 不 能 使 用 别名 )， 在 图 7-9 的 主 窗口 的 “ 设 


备 ” 选 项 卡 中 ， 单 


Ff 工具 栏 上 的 “新 建 ” 按 钮 ， 配 置 


以 太 网 卡 的 别名 及 别名 的 静态 IP 地 址 ， 然 后 单 击 “ 应 


用 ”按钮 来 创建 它 ， 
建 的 只 不 过 是 一 个 


以 太 网 的 设备 已 经 存在 ， 刚 刚 创 
别名 ， 如 eth0:1。 图 7-10 中 的 


eth0:1 是 eth0 的 别名 。 
经 过 以 上 配置 将 生成 配置 文件 /etc/sysconfig/network-script/ficfg-eth0:1， 然 后 选择 设备 


别名 ， 最 后 单 击 工具 栏 上 的 “激活 ”按钮 来 激活 这 个 别名 设备 。 


Et 


人 


7-10 设置 别名 


eth0:1 是 eth0 设备 的 第 一 个 别名 ，eth0 第 二 个 别名 的 设备 名 是 eth0:2， 以 此 类 推 。 
3. 修改 常规 网 络 配置 


要 修改 网 络 设备 或 网 络 设备 别名 ， 可 以 从 设备 列表 中 选中 该 设备 名 ， 然 后 单 击 “ 编 
辑 ” 按 钮 来 编辑 它 的 配置 。 在 如 图 7-11 中 的 “常规 ”选项 卡 中 ， 可 以 修改 是 否 在 计算 机 启 
动 时 激活 该 设备 ， 也 可 以 修改 使 用 DHCP 或 静态 IP 地 址 、 子 网 掩 码 和 默认 网 关 。 
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4. 添加 路 由 配置 


在 图 7-12 所 示 的 “路 由 ”选项 卡 中 添加 、 修 改 和 删除 路 由 配置 。 可 以 添加 两 种 路 由 : 


一 种 是 到 网 络 的 路 由 ( 子 网 掩 码 中 1 的 位 数 小 于 32)， 另 一 种 是 到 主机 的 路 由 ( 子 网 掩 码 中 1 
的 位 数 等 于 32)。 


Cwmwun:l 加 


7-11 修改 eth0 7-12 添加 路 由 


要 使 路 由 配置 生效 ， 可 选择 菜单 “文件 ” |“ 保存” 命令 ， 随 后 重新 启动 network 服 
务 ， 所 做 的 改变 将 更 新 路 由 表 。 


在 如 图 7-13 所 示 的 “硬件 设备 ”选项 卡 中 ， 可 以 选择 配置 网 络 设备 硬件 和 设备 别名 号 
码 ， 还 可 以 查看 该 网 络 设备 的 MAC 地 址 。 


5. 配置 DNS 客户 
可 以 在 如 图 7-14 所 示 的 窗口 中 选择 DNS 选项 卡 ， 配 置 DNS 客户 。 此 界面 中 可 以 修改 


计算 机 的 主机 名 ， 也 可 以 填写 1 一 3 个 DNS 服务 器 IP 地 址 ， 还 可 以 在 DNS 搜索 路 径 中 填 
写 DNS 搜索 域 。 对 DNS 的 修改 将 保存 到 /etc/resolv.conf 文件 中 。 


涪 夫 全 | 及 由 组】 硬件 这 各) 


文件 如 ”配置 文件 外” 地 以 吕 
WH0D: [ emo Aevonceo mero Devices IAmD1 79c970 treners2 ancey js] 半 


[a 


团 关隘 列 MAC 地 址 : [oo -nc 29 bs-er Bl ] 


EEC CE 


上 肖 sTbl 醒 要 系 二 0 主机 之 、 培 .二 各 有 务 器 、 以 及 搜索 城 > 
三 扑 名 和 妥 务 吕 尖 用 来 宇 问 多 上 下 了 其 它 王 机 “ 


3: [ET 

主 Dws 加 : ”| 这 二 02 
第 DNs(s): [ac wen 
下 =DNsCD ; 

DNS 搜寻 克 径 : [huayang com 


2 


图 7-13 ”修改 网 络 配置 7-14 DNS 配置 
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6. 配置 静态 主机 解析 表 

可 以 在 图 7-15 所 示 的 窗口 中 选择 “主机 ”选项 卡 ， 配 置 系统 的 静态 主机 解析 表 。 要 添 
加 静态 主机 解析 记录 ， 可 以 单 击 工具 栏 上 的 “编辑 ”按钮 ， 在 弹出 的 “添加 /编辑 主机 项 
目 ” 对 话 框 中 输入 IP 地 址 及 与 其 对 应 的 主机 名 ， 单 击 “ 确 定 ” 按 钮 即 可 。 


a 
图 7-15 配置 静态 主机 


配置 结果 保存 在 /etc/hosts 文件 中 ， 也 可 直接 编辑 /etc/hosts 文件 添加 静态 主机 ， 配 置 完 
成 后 重新 启动 network 服务 。 


7.2.3 ”使 用 命令 配置 以 太 网 络 


除了 使 用 图 形 工 具 进行 以 太 网 络 的 配置 ， 对 于 一 个 系统 管理 员 来 说 ， 更 需要 熟练 使 用 
的 是 在 文本 模式 下 直接 采用 相应 的 命令 来 进行 以 太 网 络 的 配置 管理 。 下 面 介 绍 几 个 Linux 
系统 下 常用 的 以 太 网 配置 管理 命令 。 


1. ifconfig 
可 以 使 用 这 onfig 命令 来 配置 并 查看 网 络 接口 的 配置 情况 ， 举 例如 下 。 
(1) 配置 eth0 的 他 地 址 、 掩 码 ， 同 时 激活 该 设备 ， 代 码 如 下 。 


[root@loacalhost root]#ifconfig eth0 192.168.3.100 netmask 
255.255.255.0 up 


(2) 配置 eth0 别名 设备 eth0:1 的 下 地 址 并 添加 路 由 ， 代 码 如 下 。 


[root@loacalhost root]#ifconfig eth0:1 192.168.2.3 
[root@loacalhost root]#route add -host 192.168.2.3 dev eht0:1 


G) 激活 设备 的 代码 如 下 。 
[root@loacalhost root]#ficonfig eth0:1 up 


(4) 禁用 设备 的 代码 如 下 。 


[root@loacalhost root]#ifconfig eth0:1 down 
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(5) 查看 指定 的 网 络 接口 的 配置 代码 如 下 。 


[root@loacalhost root]#ifconfig eth0 


(6) 查看 所 有 网 络 接口 的 配置 代码 如 下 。 

[root@loacalhost root]#ifconfig 

2. route 

可 以 使 用 route 命令 来 配置 并 查看 内 核 路 由 表 的 配置 情况 ， 举 例如 下 。 
(1) 添加 到 主机 的 路 由 ， 代 码 如 下 。 


[root@loacalhost root]#route add-host 192.168.3.1 dev eth0 
[root@loacalhost root]#route add-host 202.103.0.51 gw 202.103.0.20 


(2) 添加 到 网 络 的 路 由 ， 代 码 如 下 。 


[root@loacalhost root]#route add-net 10.10.20.40 netmask 
255.255;255.248, .eth0 

[root@loacalhost root]#route add-net 10.10.20.41 netmask 
255.255.255.248 gw 10.10.20.42 

[root@loacalhost root]#route add-net 192.168.1.0/24 ethl 


(3) 添加 默认 网 关 的 代码 如 下 。 


[root@loacalhost root]#route add default gw 192.168.0.1 


(4) 查看 内 核 路 由 表 的 配置 ， 代 码 如 下 。 


[root@loacalhost root]#route 


(5) 删除 路 由 的 代码 如 下 。 


[root@loacalhost root]# route del-host 192.168.3.1 dev eth0 
[root@loacalhost root]# route del-host 202.103.0.51 gw 202.103.0.20 
[root@loacalhost root]# route del-net 10.10.20.40 netmask 
255.255.255.248 eth0 

[root@loacalhost root]#route del-net 10.10.20.41 netmask 255.255.255.248 
gw 10.10.20.42 

[root@loacalhost root]# route add-net 192.168.1.0/24 ethl 
[root@loacalhost root]# route add default gw 192.168.0.1 


3. traceroute 

该 命令 用 来 显示 数据 包 到 达 目 的 主机 所 经 过 的 路 由 ， 举 例如 下 。 
[root@loacalhost root]# traceroute www.sina.com.cn 

4. ping 

可 以 使 用 ping 命令 来 测试 网 络 的 联通 性 ， 举 例如 下 。 


[root@loacalhost root]# Ping www.sina.com.cn 


间 7 吉 Un 1I 必 


[root@loacalhost root]#Ping 192.168.0.1 


5. netstat 

可 以 使 用 该 命令 来 显示 网 络 状 态 信 息 。netstat 命令 是 一 种 监控 TCP/IP 网 络 的 很 有 效 的 
工具 ， 可 以 显示 网 络 连接 状况 、 路 由 表 的 信息 和 网 络 接口 的 状态 。 

输入 netstat 命令 ， 其 输出 的 结果 分 为 两 个 部 分 ， 一 部 分 是 Active Internet connections， 
称 为 活动 的 TCP 连接 ， 另 一 部 分 为 Active UNIX domain sockets， 称 为 Unix 域 套 接口 的 连 
接 情况 ， 如 图 7-16 所 示 。 


图 7-16 netstab 命令 的 输出 结果 


第 一 部 分 的 各 个 选项 的 含义 如 下 。 

Proto: 使 用 的 协议 ，tcp 或 udp。 

Recv-Q: 接收 数据 包 的 数量 。 

Send-Q: 发 送 数据 包 的 数量 。 

Local Address: 本 地 下 地 址 和 端口 号 。 

Foreign Address: 外 部 的 人 P 地 址 和 端口 号 (连接 到 本 地 服务 器 的 客户 端的 卫 地 址 和 端 
口号 )。 

State: 状态 ， 分 为 ESTABLISHED( 已 经 建立 连接 )、SYN SEND (准备 建立 连接 )、SYN 
RECV( 已 经 收 到 连接 请 求 )、FIN WAIT1( 连 接 关 闭 ) 和 FIN WAIT2 (连接 准备 关闭 )。 

第 二 部 分 的 各 个 选项 含义 如 下 。 

Proto: 协议 。 

RefCnt: 引用 计数 器 。 

Flags: 显示 的 是 一 些 条 目 信 息 。 

Type: 类 型 ， 分 为 DGRAM( 数 据 连接 模式 ) 和 STREAM( 流 体 连 接口 )。 

State: 状态 。 

I-Node: 端口 号 。 

Path: 路 径 。 

netstat 具体 参数 如 下 。 

(1) 显示 网 络 接口 状态 信息 ， 代 码 如 下 。 


[root@loacalhost Froot]#netstat -i 
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(2) 显示 所 有 监控 中 的 Socket 和 正在 使 用 的 Socket 的 程序 信息 ， 代 码 如 下 。 
[root@loacalhost root]#netstat -lpe 
G) 显示 内 核 路 由 表 信息 ， 代 码 如 下 。 


[root@loacalhost root]#netstat -r 
[root@loacalhost root]#netstat -nr 


(4) 显示 TCP/IP 传输 协议 的 链接 信息 ， 代 码 如 下 。 


[root@loacalhost root]#netstat -t 
[root@loacalhost root]#netstat -u 


(5) 显示 组 播 成 员 的 一 些 信息 ， 代 码 如 下 。 
[root@loacalhost root]#netstat -g 

(6) 列 出 伪装 连接 ， 代 码 如 下 。 
[root@loacalhost root]#netstat  -M 

(7) 显示 每 个 协议 的 一 些 摘要 信息 ， 代 码 如 下 。 
[root@loacalhost root]#netstat -s 

(8) 显示 准确 的 地 址 ， 代 码 如 下 。 
[root@loacalhost root]#netstat -n 

(9) 只 显示 监听 的 Socket， 代 码 如 下 。 
[root@loacalhost root]#netstat 一 

(10) 显示 每 个 Socket 的 程序 名 称 和 PID， 代 码 如 下 。 


[root@loacalhost root]#netstat -p 


6. hostname 


可 以 使 用 hostname 命令 来 更 改 主机 名 ， 举 例如 下 。 


hostname myname 


7. arp 


将 人 P 地 址 转换 成 物理 地 址 ， 每 个 网 络 上 的 主机 都 有 一 个 自己 的 他 地址 ， 为 了 让 数据 
包 在 物理 链 路 上 传送 ， 必 须知 道 对 方 的 物理 地 址 ， 这 样 就 存在 把 瑟 地 址 转换 成 物理 地 址 的 
问题 。 

下 面 以 主机 A(192.168.0.5) 向 主机 B(192.168.0.1) 发 送 数据 为 例 。 当 发 送 数据 时 ， 主 机 
A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目标 IP 地 址 。 如 果 找 到 了 ， 也 就 知道 了 目标 MAC 
地 址 ， 直 接 把 目标 MAC 地 址 写 入 帧 里 面 发 送 即 可 ;如 果 在 ARP 缓存 表 中 没有 找到 相对 应 的 
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卫 地 址 ， 主 机 A 就 会 在 网 络 上 发 送 一 个 广播 ， 目 标 MAC 地 址 是 “FF.FF.FF.FF.FF.FF”， 这 
表示 向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 ， 即 “192.168.0.1 的 MAC 地 址 是 什 
么 ? ”。 网 络 上 其 他 主机 并 不 响应 ARP 询问 ， 只 有 主机 B 接收 到 这 个 帧 时 ， 才 向 主机 A 
做 出 这 样 的 回应 “192.168.0.1 的 MAC 地 址 是 00-ad-00-64-c6-09”， 这 样 主机 A 就 知道 了 
主机 B 的 MAC 地 址 ， 它 就 可 以 向 主机 B 发 送信 息 了 ， 同 时 它 还 更 新 了 自己 的 ARP 缓存 
表 ， 下 次 再 向 主机 B 发 送信 息 时 ， 直 接 从 ARP 缓存 表 里 查 找 即 可 。 

(1) 查看 ARP 缓存 ， 代 码 如 下 。 

[root@loacalhost Foot]#arp 

(2) 添加 一 个 他 地 址 和 MAC 地 址 的 对 应 表 ， 代 码 如 下 。 

[root@loacalhost root]#arp -s 192.168.1.100 00: de:4f:5e:b2 


G3) 删除 一 个 也 地址 和 MAC 地 址 的 对 应 缓存 记录 ， 代 码 如 下 。 


[root@loacalhost root]#arp -d 192.168.1.100 


本 章 习 题 


一 、 填 空 题 


1. OSI 参考 模型 的 中 文 意思 是 E 

2. ethl 的 意思 是 

3. 端口 号 的 范围 是 

4. 使 用 端口 号 53 的 服务 是 。 

二 、 问 答题 

1. OSI 的 7 层 模型 是 什么 ?功能 分 别 是 什么 ? 

2. ICP/IP 四 层 模型 是 什么 ?分 别 有 什么 功能 ? 

3. 什么 是 数据 的 封装 ? 

4. 耳 地 址 分 为 几 大 类 ? 它们 的 取 值 范围 是 多 少 ? 

5. 域名 的 作用 是 什么 ? 

6. 服务 器 的 IP 地 址 是 192.168.1.20， 使 用 ifconfig 临时 增加 一 个 IP 为 192.168.2.30 的 
命令 是 什么 ? 

7. 添加 一 条 到 主机 192.16.3.4 的 路 由 。 

三 、 上 机 实 训 


实 训 目 的 
掌握 Linux 操作 系统 下 用 命令 方式 配置 Linux 网 络 组 件 的 方法 。 
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实 训 内 容 

(1) 使 用 ifconfig、ifup、ifdown 配置 、 激 活 和 禁用 网 络 设备 。 

(2) 使 用 控制 台 命令 route 操作 卫 路 由 表 。 

(3) 使 用 ping 命令 测试 网 络 、 使 用 netstat 命令 输出 网 络 状态 。 

实 训 步骤 

配置 TCP/IP 网 络 。 

要 求 : 在 服务 器 上 添加 一 个 虚拟 网 络 接 口 eth0:0， 为 其 设置 耳 地 址 ， 并 启动 该 网 络 接 
口 ， 完 成 一 个 完整 的 TCP/IP 网 络 配 置 。 

(1) 配置 JP 和 掩 码 并 查看 网 络 设备 的 配置 信息 ， 代 码 如 下 。 

#ifconfig eth0 192.168.1.191 netmask 255.255.255.0 

#ifconfig -a 

(2) 激活 或 禁用 网 络 设 备 ， 代 码 如 下 。 

#ifup eth0 

#ifdown eth0 

(3) 添加 静态 路 由 ， 代 码 如 下 。 

#route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.254 

(4) 使 用 ping 命令 测试 网 络 ， 代 码 如 下 。 


#ping 192.168.1.254 


\ 


\ 
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学 习 目 的 与 要 求 : 

Linux 使 用 一 个 被 称 为 Samba 的 程序 集 来 实现 SMB(Server Message Block) 协 议 。 通 过 
Samba， 可 以 为 Linux 系统 编程 一 台 SMB 服务 器 ， 使 得 Wifidows 用 户 可 以 使 用 Linux 的 
共享 文件 和 打印 机 ， 同 样 Linux 用 户 也 可 以 通过 SMB 客户 端 使 用 Windows 上 的 文件 和 打 
印 机 资源 。 本 章 介绍 Linux 下 的 Samba 服务 器 的 搭建 ， 以 及 如 何 使 用 Samba 服务 使 Linux 
操作 系统 和 Windows 操作 系统 互相 访问 。 通 过 对 本 章 的 学 习 ， 读 者 应 该 做 到 以 下 几 点 。 

@ 了 和 解 SMB 协议 。 

@ 熟 入 Samba 服务 器 的 配置 文件 内 容 。 

@ 热 练 配置 Samba 服务 器 。 


8.1 SMB 协议 和 Samba 简介 


SMB 是 用 于 局 域 网 上 共享 文件 夹 /打印 机 的 一 种 协议 。 而 Samba 是 Linux 平台 上 实现 
SMB 协议 的 软件 集 。 


8.1.1 SMB 协议 


SMB 协议 用 于 共享 文件 、 共 享 打 印 机 、 共 享 串口 等 用 途 。 在 Windows 的 网 络 邻居 下 
访问 一 个 域内 的 其 他 机 器 ， 就 是 通过 这 个 协议 实现 的 。 

SMB 协议 是 一 个 遵循 客户 机 /服务 器 模式 的 协议 。SMB 服务 器 负责 通过 网 络 提供 可 用 
的 共享 资源 给 SMB 客户 机 ， 服 务 器 和 客户 机 之 间 通 过 TCP/IP 协议 或 者 IPX 协议 通信 。 一 
旦 服务 器 和 客户 机 之 间 建 立 了 一 个 连接 ， 客 户 机 就 可 以 通过 向 服务 器 发 送 命令 完成 对 共享 
文件 的 操作 。 


8.1.2 ”Samba 概述 


Samba 是 一 组 软件 包 ， 安 装 了 Samba 后 就 可 以 直接 而 方便 地 在 不 同系 统 间 共享 资源 ， 
从 而 免 去 了 以 前 使 用 FTP 的 麻烦 。 

Samba 于 1991 年 由 澳大利亚 人 Andrew Tridgell 研发 ， 最 初 是 为 了 代替 PC-NFS 而 开 
发 的 。 经 过 Samba 小 组 (http:/www.samba.org) 的 共同 努力 ， 现 在 的 Samba 已 经 成 为 一 个 非 
常 强大 的 软件 包 ， 其 可 以 在 包括 Linux 操作 系统 在 内 的 几乎 所 有 的 Unix 平台 上 运行 。 
Samba 目前 已 经 成 了 各 种 Linux 发 行 版 本 的 一 个 基本 的 软件 包 。 

Samba 的 核心 是 两 个 守护 程序 smbd 和 nmbd。 服 务 器 启动 到 停止 期 间 持续 运行 ，smbd 
监听 139 端口 ，nmbd 监听 137 和 138 端口 。 


8.1.3 Samba 功能 介绍 


1. Samba 软件 的 功能 


@ ”共享 Linux 文件 系统 。 

@ ”共享 安装 在 Samba 服务 器 上 的 打印 机 。 

@ 支持 Windows 客户 使 用 网 上 邻居 浏览 网 络 。 
@ ”支持 使 用 Samba 资源 的 用 户 进行 认证 。 

@ 支持 WINS 名 称 服务 器 解析 及 浏览 。 

@ 支持 SSL 安全 套 接 层 协 议 。 


2. Samba 的 应 用 环境 
图 8-1 所 示 为 一 个 小 型 网 络 环境 ， 在 此 环境 中 ， 运 行 Samba 服务 器 的 Linux 系统 为 所 
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有 的 客户 提供 网 络 文件 服务 器 和 打印 服务 器 的 功能 。 


8-1 Samba 的 网 络 结构 图 


当 Samba 服务 器 在 Linux 计算 机 上 运行 以 后 ，Linux 计算 机 在 Windows 网 上 邻居 中 看 
起 来 如 同一 台 Windows 的 计算 机 ， 如 图 8-2 所 示 。 


图 8-2 Windows 网 上 邻居 查看 Samba 服务 器 


8.2 安装 和 启动 Samba 服务 


默认 情况 下 ，Red Hat 安装 程序 没有 安装 Samba 服务 ， 在 使 用 Samba 服务 之 前 需 进行 
安装 。 下 面 介绍 如 何 安装 Samba 服务 。 


8.2.1 安装 


在 Red Hat Linux 中 提供 了 如 下 几 个 Samba 安装 包 。 


入 
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samba-common: 该 软件 包含 了 服务 器 端 和 客户 端 所 需要 的 文件 。 

samba: Samba 服务 器 端的 软件 。 

samba-client: Samba 客户 端的 软件 。 

redhat-config-samba: Smaba 服务 器 的 GUI 配置 具 。 

Samba-swat: Samba 的 Web 配置 工具 。 

下 面 用 RPM 的 安装 方法 介绍 Samba 的 安装 方式 。 如 果 用 户 在 安装 系统 时 已 经 安装 了 
Samba 软件 包 ， 可 以 跳 过 该 安装 步骤 。 

(1) 查看 是 否 安装 了 Samba。 使 用 rpm 命令 查看 ， 格 式 为 Ipm -qalgrep samba， 如 图 8- 
3 所 示 。 


图 8-3 查看 Samba 是 否 安装 


(2) 如 图 8-3 所 示 ， 系 统 中 已 经 安装 了 Samba 的 服务 器 端 和 客户 端 工 具 。 如 果 系 统 没 
安装 Samba 软件 包 ， 则 要 安装 光盘 或 者 从 网 站 下 载 Samba 软件 安装 文件 并 安装 。 
运行 ipm -ivh ”samba 软件 包 文件 命令 进行 安装 ， 如 图 8-4 所 示 。 


图 8-4 Samba 的 安装 


(3) 安装 Samba 的 Web 配置 工具 samba-swat 与 安装 Samba 的 GUI 配置 工具 的 方法 和 
安装 服务 器 端的 格式 相同 。 接 下 来 查看 安装 后 的 Samba 软件 包 ， 如 图 8-5 所 示 。 


图 8-5 安装 后 的 Samba 
注意 : ”在 安装 samba-swat 时 要 先 安 装 xinetd， 否 则 会 提示 依赖 关系 错误 无 法 安装 ， 

因为 swat 的 配置 及 启动 全 是 依靠 xinetd 的 。 要 启动 swat， 首 先 要 修改 
/etc/xinetd.d/swat 文件 ， 如 图 8-6 所 示 。 设 置 disable=no， 若 不 想 在 Linux 上 
配置 swat， 需 要 修改 only.…from， 将 其 设置 成 为 浏览 器 ， 配 置 Samba 服务 
器 。 若 only.…from 192.168.0.29 修改 保存 后 ， 使 用 命令 service xinetd restart 
重启 xinetd， 在 IE 地 址 栏 中 输入 http://192.168.0.29:901， 就 可 在 IE 中 配置 
Samba， 如 图 8-7 所 示 。 
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‘Welcome to SWAT! 
Please choose a configuration action using one of the above buttons 
Samba Documentation 


图 8-7 在 IE 中 配置 Samba 
(4) 现在 Samba 服务 器 已 经 安装 完成 ， 下 面 进 行 Samba 服务 器 的 配置 工作 。 


8.2.2 配置 


1. Red Hat Linux 中 Samba 服务 的 默认 配置 


Red Hat 的 Samba 服务 配置 文件 为 /etc/samba/smb.conf。 该 文件 中 大 多 数 行 是 以 “#” 符 
号 开头 的 注释 行 。 为 了 忽略 注释 行 而 直接 显示 关注 的 配置 参数 ， 使 用 如 下 命令 进行 查看 。 


# grep -V "#" /etc/samba/smb.conf 1grep -Vv ";" 
// 设 置 全 局 参数 

[global] 

// 设 置 工作 组 的 名 称 

workgroup = Mygroup 

// 设 置 Samba 服务 器 的 名 称 

server string = samba server 

// 设 置 打印 机 配置 文件 路 径 


printcap name = /etc/printcap 
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// 允 许 共享 打印 
local printers = yes 
// 设 置 打 印 类 型 
printing = cups 
// 设 置 日 志文 件 路 径 
log file = /var/lo0g/samba/%m.1og 
// 不 对 日 志 做 长 度 限 制 
max log size = 0 
// 设 置 user 的 安全 等 级 
security = user 
// 设 置 用 户 名 密码 
encrypt passwords = yes 
// 设 置 口令 文件 路 径 
smb passwd file = /etc/samba/smbpasswd 
// 设 置 Samba 用 户 账号 和 Linux 系统 账号 同步 
unix password sync = yes 
// 设 置 本 地 口令 程序 
Passwd program= /usr/bin/passwd %u 
// 控 制 smbd 和 /usr/bin/passwd 之 间 的 会 话 ， 用 以 对 用 户 密码 进行 改变 
passed chat = *nes*password* $n\n *retype*new*password* 
Sn\n*passwd:*all*authentication*tokens*updated*successfully* 
// 用 户 要 求 更 改 密码 时 ， 使 用 PRM， 而 不 用 passwd program 参数 所 指定 的 本 地 口令 程序 
/uer/bin/passwd 
pam password change=yes 
// 当 认证 用 户 时 ， 服 从 PRM 的 管理 限制 
Obey pam restrictions = yes 
// 设 置 服务 器 和 客户 之 间 的 会 话 的 Socket 选项 
socket options = tcp nodelay so rcvbuf=8192 so sndbuf=8192 
// 不 为 客户 做 DNS 查询 
dns proxy = no 
// 设 置 每 个 用 户 的 主 目录 共享 
[home] 
comment = Home Directories 
browseable = no 
writable = yes 


// 设 置 全 部 打印 机 共享 

[printer] 
comment = All Printers 
path = /usr/spool/samba 
browseable = no 
guest ok = no 
writable = no 
printable = yes 


详细 的 smb.conf 配置 文件 解释 见 8.3 节 。 


第 8 章 Samba 服务 器 配置 i 只 


2. Samba 密码 文件 

当 设 置 了 user 的 安全 等 级 后 ， 将 会 有 本 系统 负责 对 Samba 服务 器 访问 的 用 户 进行 认 
证 。 要 进行 认证 ， 就 需要 一 个 Samba 口令 文件 ， 该 文件 由 smb passwd file 参数 指定 。 默 认 
为 /etc/samba/smbpasswd， 在 初始 情况 下 ， 文 件 smbpasswd 是 不 存在 的 ， 在 使 用 smbpasswd 
命令 修改 用 户口 令 时 ， 被 修改 的 Samba 用 户 的 本 地 系统 账号 必须 存在 。 使 用 带 -a 参数 的 
smbpasswd 命令 添加 单个 Samba 账户 口令 时 ， 要 求 被 添加 的 Samba 用 户 的 本 地 Linux 系统 
账号 必须 存在 。 如 果 Samba 的 本 地 Linux 系统 账号 不 存在 ， 可 以 使 用 useradd 命令 进行 添加 。 


8.2.3 启动 Samba 服务 


1. 检查 配置 文件 是 否 正确 


在 修改 完毕 或 配置 Samba 服务 器 后 ， 可 以 使 用 testparm 命令 查看 配置 文件 是 否 正确 ， 
如 图 8-8 所 示 。 


root@localhost # testparm 
Load smb config files from /etc/samba/smb.conf 
Processing section“[homes]” 


Processing section "[printers]” 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


图 8-8 testparm 命令 的 执行 结果 
2. 启动 Samba 服务 器 


在 安装 完成 后 ， 即 可 启动 Samba 服务 器 。Red Hat Linux 默认 的 Samba 以 独立 运行 方 
式 启动 ， 需 要 输入 启动 命令 service smb start 启动 服务 ， 输 入 命令 后 可 以 使 用 pstree |grep 
mbd 查看 Samba 是 否 启动 ， 如 图 8-9 所 示 。 


[root@localhost ~]# service smb start 
/etc/sysconfig/network: line 3: SERVER: command not found 
启动 SMB 服务 

启动 NMB 服务 : 


root@localhost ~]# pstree |grep mbd 
|-nmbd 


|-snbd—smbd 
rootelocalhost ~]# 卜 


8-9 启动 Samba 
可 以 使 用 service smb restart 命令 重启 Samba 服务 器 。 如 果 希 望 每 次 开机 后 自动 启动 


Samba 服务 器 ， 可 以 使 用 ntsysv 命令 ， 如 图 8-10 所 示 ， 选 择 smb 选项 后 单 击 “ 确 定 ” 
按钮 。 
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图 8-10 ntsysyv 命令 界面 
8.2.4 测试 Samba 的 配置 


1. 通过 Windows 访问 Linux 的 Samba 服务 器 


使 用 Windows 操作 系统 ， 打 开 网 上 邻居 ， 查 看 工作 组 ， 双 击 Samba 服务 器 图 标 ， 输 入 
用 户 名 密码 后 会 看 到 Samba 服务 器 共享 的 文件 和 打印 机 等 。 双 击 共享 的 文件 夹 dai，Samba 
服务 器 上 的 共享 文件 夹 内 容 显 示 在 Windows 用 户 的 屏幕 上 ， 如 图 8-11 所 示 。 


Dd 
Ey 上 rr er 


ms xns 国 - 


回 | 营 = 了 mm 
Ty ”和 本 人 工具 已 祁 约 0 
文件 四 ”往往 区) 坦 看 中 不 说 Q) 工具 QD) 开间 

CT TT Pm Ba 
Qa 上 日 让 有 me Bxn 回 . i 
地 直 B) 得 mevw ER 
@ Se © | 
a | EL 
出 

于 直人 1 风 上 8 和 i 

他 查看 Fiz 尘 接 se 
用 户 各 仙 : 到 | 加 
宣 码 四 : _ 

门 训 作 准 闪 码 取 ) 


图 8-11 Windows 用 户 访问 Samba 服务 器 
在 网 上 邻居 访问 会 影响 网 络 速度 ， 用 户 可 以 在 开始 运行 中 输入 Samba 服务 器 的 他 地 址 进 
行 访问 ， 这 样 会 提升 网 络 速度 ， 因 为 不 用 解析 计算 机 名 即 可 直接 访问 人 P。 
2. 映射 网 络 驱动 器 访问 Samba 共享 
右 才 


ff Samba 服务 器 后 看 到 共享 资源 ， 选 择 “ 属 性 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 
“映射 网 络 驱 动 器 ”命令 ， 如 图 8-12 所 示 。 在 弹出 的 “映射 网 络 驱动 器 ”对 话 框 中 设置 驱 
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动 器 的 盘 符 ， 如 图 8-13 所 示 。 


ee 
i 


为 要 注 接 到 的 注 计 和 六 人 到 指定 驱动 加 号 
3 | 
六 笠 瑞 仙 dv| 
Bn Vsorver\ har 
加 本 录 时 重新 寺 纺 全 
合生 下 所 时 记 各 进行 这 接 ， 


CE 


图 8-12 映射 网 络 驱动 器 图 8-13 ”设置 网 络 驱动 器 的 盘 符 


设置 完 网 络 驱动 器 后 ， 它 会 显示 在 “我 的 电脑 ”窗口 中 ， 给 用 户 的 感觉 就 像 在 本 地 访 
问 磁盘 一 样 方便 ， 如 图 8-14 所 示 。 


8-14 ”通过 映射 网 络 驱动 器 来 访问 Samba 服务 器 
3. 检查 服务 器 上 的 共享 资源 


用 户 可 以 在 Samba 服务 所 在 的 Linux 服务 器 上 使 用 smblicent 命令 查看 已 经 发 布 的 共 
享 资源 ， 如 图 8-15 所 示 。 


BR 
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4. 列 出 Samba 的 资源 使 用 情况 


用 户 可 以 在 Linux 上 使 用 命令 smbstatus 查看 Samba 服务 器 共享 资源 使 用 的 情况 ， 如 
图 8-16 所 示 。 


Banba version 3.5.19-125.el6 
F Usernane 


8-16 ”smbstatus 命令 的 结果 


8.3 Samba 的 配置 文件 


Samba 服务 配置 文件 为 /etc/samba/smb.conf， 该 文件 是 纯 文 本 文件 ， 可 以 用 vi 等 文本 
编辑 命令 进行 编辑 。 下 面 对 smb.conf 文件 的 内 容 进行 详细 介绍 。 


8.3.1 smb.conf 简介 


1. smb.conf 文件 的 结构 


smb.conf 的 文件 采用 了 分 节 的 结构 ， 其 基本 的 格式 和 Windows 中 的 .ini 文件 类 似 。 
般 smb.conf 文件 由 3 个 标准 节 和 多 个 用 户 自 定 义 共 享 节 组 成 ， 见 表 8-1。 


表 8-1 smb.conf 文件 中 的 节 


说 明 
用 于 定义 全 局 参数 和 默认 

用 于 定义 用 户 的 Home 目录 共享 
用 于 定义 打印 机 共享 
用 户 自 定义 可 以 有 多 个 


Userdefined ShareName 


2. smb.conf 文件 中 的 语法 元 素 
smb.conf 文件 中 的 语法 元 素 见 表 8-2。 


表 8-2 smb.conf 文件 的 语法 元 素 


语法 元 素 说 月 
# 或 ; | 注释 
[Name] | 节 名 称 
\ 连续 符 
可 变量 名 前 妇 
参数 = 值 一 个 配置 选项 ， 只 可 以 有 两 种 数据 关 开 
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3. Samba 的 安全 等 级 


Samba 有 以 下 4 种 安全 等 级 ， 可 以 使 用 securty 参数 进行 定义 。 
(D share: 用 户 不 需要 账户 及 密码 即 可 登录 到 Samba 服务 器 。 


(2) user: 由 提供 服务 的 Samba 服务 器 负责 验证 账户 和 密码 (是 Samba 的 默认 级 别 )。 
(3) server: 验证 账户 和 密码 的 工作 由 另 一 台 Windows NT/2000 或 Samba 服务 器 负责 。 
(4) domain: 由 指定 Windows NT/2000 域 控制 器 负责 验证 用 户 的 账号 及 密码 。 


8.3.2 smb.conf 的 参数 说 明 


1. 全 局 参数 


表 8-3 列 出 了 smb.conf 一 些 常用 的 全 局 参数 及 说 明 。 


参 数 
workegroup = MYGROUP 
Server string=Samba Server 
scurity=User 
localhost allow 
printcap name 


load printers 


Printing = cups 


guest account = pcguest 


max log size =50 

include = /etc/samba/smb. 
conf %m 
interfaces=192.168.12.2/24 
192.168.13.2/24 


local master = no 


表 8-3 smb.conf 全 局 参数 及 说 明 


说 明 
设置 Samba 的 工作 组 
在 浏览 的 列表 中 对 Samba 服务 器 的 描述 
定义 Samba 的 安全 级 别 
可 以 访问 的 Samba 主机 


自动 共享 ， 不 需要 逐一 设置 ， 使 用 这 两 个 选项 


当前 支持 的 打印 系统 主要 有 以 下 几 类 : # bsd、sysv、plp、lpmg、aix、 
hpux、qnx、cups 

如 果 想 要 一 个 guest 账号 ， 就 不 用 注释 下 面 的 行 。 必 须 把 这 个 加 入 到 
/etc/passwd 中 ， 否 则 用 户 “nobody” 会 被 使 用 

指定 日 志文 件 的 最 大 尺寸 KB) 

在 每 一 台 服务 器 上 ， 使 用 下 面 的 行 可 以 定制 自己 的 配置 。%m 以 连接 机 
器 的 netbios 名 代替 


如 果 有 多 个 网 络 接口 ， 必 须 在 下 面 把 它们 列 出 来 


如 果 用 户 不 想 让 Samba 在 网 络 中 变 成 一 个 主 浏览 器 ， 可 以 设置 local 
master 为 no0， 否 则 将 采用 正常 的 规则 


os level= 33 


os level 决定 在 主 浏览 器 中 被 提取 的 优先 级 。 默 认 值 是 很 合理 的 


domain master = yes 


Wins SerVer = W.X.Y.Z 


域 master 指定 Samba 是 域 主 浏览 器 。 这 允许 Samba 在 子 网 之 间 比 较 浏 
览 列表 。 如 果 用 户 已 经 有 了 一 个 Win NT 的 主 域 控制 器 ， 就 不 要 设置 这 
个 选项 

Samba 既 可 以 是 一 个 WINS 服务 器 ， 也 可 以 是 一 个 客户 端 ， 或 为 其 他 


< 
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P= 


2. 共享 资源 辅助 参数 
例如 ， 设 置 一 个 共享 目录 share， 则 需要 使 用 comment、read list 等 共享 资源 辅助 参数 
对 它 进 行 配置 ， 配 置 内 容 如 下 。 
[share] 
comment = Samba's share directory 
read list = tom 


writable = yes 
path = /home/share 


表 8-4 列 出 了 一 些 常 用 的 共享 资源 的 辅助 参数 及 说 明 。 
表 8-4 Samba 辅助 参数 及 说 明 


参 数 说 明 
comment 对 Samba 共享 的 说 明 
path 共享 目录 的 路 径 
writable 是 否 可 写 
browseable 共享 路 径 是 否 可 浏览 
read onl 共享 的 路 径 是 否 可 读 
public 是 否 人 允许 guest 访问 
guest account 指定 一 般 性 客户 的 账号 
guest on 是 否 只 允许 guest 访问 
read list 设置 只 读 用 户 访问 列表 
writable list 设置 读 写 用 户 访问 列表 
Valid users 指定 允许 使 用 服务 的 用 户 
invalid users 指定 不 允许 使 用 服务 的 用 户 


3. Samba 的 变量 

Samba 有 很 多 不 同 的 变量 ， 这 些 变量 能 帮助 用 户 完 成 一 些 动态 的 工作 。 下 面 来 看 这 些 

(1) %U: 表示 当前 的 用 户 名 ， 如 果 用 userl 用 户 访问 共享 资源 ，%U 是 userl， 如 果 是 
user2 用 户 访问 ， 那 么 这 个 %U 就 是 user2。 利 用 这 个 特点 ， 我 们 可 以 针对 不 同 的 用 户 设置 
不 同 的 共享 目录 。 其 格式 如 下 。 


[home] 
Path = /home/%U 


当 用 户 userl 访问 Samba 服务 器 时 ， 显 示 的 共享 目录 就 是 /home/userl 目录 ， 当 user2 
访问 时 ， 访 问 的 就 是 /home/user2 目录 。 
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(2) %G: 当前 用 户 所 在 的 工作 组 ， 假 设 userl 属于 sambauser 组 ， 那 么 %G 就 是 
sambauser。 

(3) %h: Samba 所 在 的 Linux 主机 名 。 

(4) %m: 客户 机 的 netbios 名 称 。 

(5) %T: 当前 的 日 期 和 时 间 。 

(6) %L: 服务 器 的 netbios 名 称 。 


8.3.3 举例 配置 Samba 服务 器 文件 共享 


本 节 将 举例 说 明 Samba 的 配置 ， 在 每 次 修改 smb.conf 文件 后 ， 都 要 使 用 service smb 
Testart 命令 重新 启动 ， 以 使 Samba 服务 器 的 配置 生效 。 


1. 修改 Samba 的 全 局 配置 
修改 smb.conf 文件 可 以 通过 vi 编辑 命令 对 /etc/samba/smb.conf 直接 进行 编辑 ， 代 码 如 下 。 


#vi /etc/samba/smb.conf 


对 smb.conf 文件 中 如 下 全 局 配置 参数 进行 修改 ， 最 终 改 为 如 图 8-17 的 结果 。 


// 修 改 工作 组 的 名 称 

#workgroup = MYGROUP 

// 修 改 服务 器 的 描述 

# server string = samba server 
// 修 改 允 许 访问 Samba 服务 器 的 主机 
#hosts allow = 192.168.0. 


workgroup = Ni-Donain-Nane or WOrKEFOUP-Name，cE: MIDEARTH 
workgroup = MYGROUP 


F server string is the equivalent of the NT Description field 
server string = Samba Server 


values are share, user, server, domain and ads. Most people will want 
user level security. See the Samba-HOWTO-Collection for details. 
security = user 


boats mode. Defines in which mode Samba will operate. Possible 


FF This option is important for security. It allows you to restrict 
connections to machines which are on your local network. The 
following example restricts access to two C class networks and 
the “loopback” interface. For more examples of the syntax see 

the smb.conf man page 
hosts allow = 192.168.0. 192.168.2. 127. 


图 8-17 smb.conf 的 部 分 内 容 
2. 为 所 有 用 户 配置 只 读 共享 和 读 写 的 共享 


为 了 配置 所 有 用 户 的 只 读 共享 ， 被 共享 的 目录 在 Linux 操作 系统 中 应 具有 其 他 用 户 的 
可 读 权限 ; 为 了 配置 对 所 有 用 户 的 可 读 写 共享 ， 被 共享 的 目录 在 Linux 操作 系统 中 应 具有 
其 他 用 户 可 读 写 的 权限 。 
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下 面 以 /home/test 目录 的 只 读 共享 和 /home/testl 的 读 写 共享 为 例 进 行 配置 。 


// 修 改 配置 文件 /etc/samba/smb.conf 
#vi /etc/samba/smb.conf 
// 添 加 testl 目录 读 写 的 共享 
[test1] 
Comment = myshare 
Path = /home/test1 
Read only = no 
Public = yes 
// 添 加 test 目录 的 只 读 共享 
[test1] 
Comment = mysamba 
Path = /home/test1 
Read only = yes 
Public = yes 
// 保 存 后 退出 vi 


3. 为 指定 用 户 或 组 配置 Samba 共享 

有 时 需要 为 指定 的 一 个 用 户 或 多 个 用 户 提供 共享 资源 ， 或 者 为 指定 的 组 用 户 提供 共享 

文件 系统 的 权限 和 共享 权限 : Samba 服务 器 要 将 本 地 文件 系统 共享 给 Samba 用 户 ， 这 
就 涉及 两 个 权限 ， 即 本 地 文件 系统 权限 和 Samba 权限 。 当 Samba 用 户 访问 共享 时 ， 最 终 
的 权限 将 是 两 种 权限 中 最 严格 的 权限 。 

如 果 在 smb.conf 中 对 用 户 设置 了 写 的 权限 ， 但 是 用 户 对 共享 的 Linux 目录 没有 做 相应 
的 权限 更 改 ， 那 么 用 户 还 是 不 能 对 共享 的 目录 有 写 的 权限 。 


// (1) 单 个 用 户 配置 Samba 共享 
// 创 建 本 地 账户 

Useradd dai 

Passwd dai 

// 添 加 dai 到 samba 账号 
Smbpasswd -a dai 

// 建 立 共享 目录 

Mkdir /home/dai 

// 修 改 配置 文件 

Vi /etc/samba/smb.conf 
// 为 dai 用 户 添加 读 写 共享 
Comment = dai sercie 
Path = /home/dai 

Valid users = dai 

Public = no 

Writable = yes 

// 修 改 后 保存 退出 

// (2) 为 多 个 用 户 配置 Samba 共享 
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// 建 立 本 地 用 户 


#useradd marry 
#passwd marry 
#useradd tom 
#passwd tom 
// 添 加 到 samba 账号 
#smbpasswd -a tom 
#smbpasswd -a marry 
// 创 建 本 地 的 共享 目录 
#mkdir /home/tommarry 
// 设 置 目录 权限 
#chmod 707 tommarry 
// 修 改 配置 文件 
#vi /etc/samba/smb.conf 
// 为 用 户 tom 和 marry 添加 读 写 共享 
[myshare] 
comment = tom and marry share 
path = ./home/tommarry 
valid users = tom marry 
public = mo 
writable = yes 


当 按 照 上 面 操作 配置 修改 完成 后 ， 重 新 启动 Samba 服务 ， 在 Windows 网 络 上 就 可 以 
看 到 Samba 上 的 共享 文件 ， 如 图 8-18 所 示 。 


STD TT 


遍 街 到) 查看 Q] 多 工具 OD 帮助 中 
@@ 鲁 -上 日 证 月 屿 本 xx 国 - 


[EECTE 


星 示 安 半 的 条 印 大和 半生 印 天 ， 开 共 且 大. 


次 二 工作 机 
是 呈 于 人 FMDUrp 这 和 
Be 


8-18 ”Windows 上 看 到 的 共享 资源 
和 注意 : ”在 以 前 的 Linux 版 本 中 ，Samba 用 户 的 账号 保持 在 /etc/samba/smbpasswd 文件 
中 ， 但 是 在 CentOS 的 版 本 和 Red Hat 企业 版 Linux 5 中 没有 smbpasswd 文 
件 ，samba 用 户 的 信息 被 保存 在 tdbsam 数据 库 中 。 如 果 想 启动 smbpasswd 验 


、 | 
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证 用 户 名 和 密码 ， 在 Samba 配置 文件 中 修改 如 下 。 


和 SEEandaLOneTSeEIVeD OpLIOND 7 
Security can be set to User，share (deprecated) or server (deprecated) 
Backend to store user information in. New installations should 


use either tdbsam or ldapsam. smbpasswd is available for backwards 
compatibility. tdbsam requires no further configuration. 


利和 利和 利和 


security = share 
大 passdb backend = tdbsam 


smb passwd file = /etc/samba/smbpasswd 
ee Domainy Nembersi OpGions ee 


将 passdb backend = tdbsam 行 用 # 号 注释 掉 ， 添 加 一 行 smb passwd file = 
/etc/samba/smbpasswd. 


8.4 配置 打印 共享 


为 了 节约 打印 机 资源 ， 公 司 很 少 会 为 每 一 台 计算 机 配置 一 台 打 印 机 ， 最 好 的 办 法 是 将 
打印 机 共享 ， 使 需要 的 用 户 通过 网 络 访问 并 使 用 它们 ，Samba 服务 可 以 完成 这 个 任务 。 

1. 打印 机 的 一 些 常用 参数 

配置 打印 共享 ， 其 实 是 修改 Samba 服务 配置 文件 smb.conf 中 有 关 打 印 机 的 参数 项 。 
表 8-5 为 打印 机 的 一 些 常用 参数 。 


表 8-5 打印 机 的 参数 说 明 


参 数 说 明 
Local printers, 是 否 加 载 打印 机 的 配置 文件 
Printcat name, 设置 打印 机 配置 文件 的 路 径 
Printing 设置 打印 机 的 类 型 
Path 指定 打印 机 的 队列 位 置 
Printer admin 设置 打印 机 管理 员 
Printable 指定 用 户 是 否 可 打印 (默认 是 不 可 以 ) 


2. 打印 机 共享 配置 
按照 如 下 配置 修改 smb.conf 文件 。 


[global] 
load printers =yes 
printing=cups 


printcap name=cups 
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[printers] 

comment = all printers 
path = /var/spool/samba 
browseable = no 

public = yes 

guest ok = yes 

writable = no 

printable = yes 

printer admin = root 
[print$] 

comment = printer derver 
path= /etc/samba/derver 
browseable = yes 

guest ok = no 

read only=yes 

writable list =root 
// 重 新 启动 Samba 服务 器 


p#service smb restart 

3. 为 Windows 客户 端 准 备 打 印 驱动 

为 Windows 客户 端 准备 打印 驱动 ， 可 以 运行 cupsaddsmb 命令 。 执 行 以 下 操作 ， 将 打 
印 机 驱动 放 在 /etc/samba/derver 目录 中 。 


// 创 建 /etc/samba/derver 目录 

#mkdir /etc/samba/derver 

// 运 行 命令 cupsaddsmb 

#cupsaddsmb -a -U root 

//-a 表示 共 享 所 有 打印 机 

//-U root 表示 以 root 身份 运行 命令 

执行 本 操作 的 目的 是 使 没有 打印 机 驱动 的 Windows 客户 端 在 网 络 上 看 到 Samba 共享 
的 打印 机 ， 双 击 打印 机 图 标 就 可 以 自动 安装 驱动 程序 。 


8.5 Samba 客户 端 


如 果 用 户 需 要 使 用 Linux 系统 作为 客户 端 访问 Samba 服务 器 ， 那 么 需要 对 自己 的 系统 
进行 一 些 配置 。 下 面 就 以 配置 方法 做 详细 介绍 。 


8.5.1 Lmhosts 文件 


Linux 系统 中 的 /etc/hosts 文件 存放 了 TCP/IP 主机 名 和 与 人 P 地 址 一 一 对 应 的 列表 ， 
/etc/hosts 为 静态 主机 表 ，Samba 使 用 /etc/samba/lmhosts 文件 存放 NetBIOS 名 与 卫 地 址 的 
静态 映射 表 。 


Linux 操作 与 服务 器 配置 实用 教程 


当 Linux 主机 作为 Samba 客户 端 访问 Samba 服务 器 时 ， 可 以 使 用 IP 地 址 访问 ， 也 可 
以 用 NetBIOS 名 访问 。 如 果 用 NetBIOS 名 访问 Samba 服务 器 ， 需 要 在 /etc/samba/lmhosts 
文件 中 添加 相应 记录 。 

// 查 看 lmhosts 文件 的 初始 内 容 

#cat /etc/samba/lmhosts 

127.0.0.1 localhost 

// 修 改 文件 添加 IP 地 址 和 NetBIOS 名 的 对 应 

// 查 看 修改 后 文件 

#cat /etc/samba/lmhosts 

127.0.0.1 localhost 

192.168.0.29 samb 


8.5.2 smbclient 命令 


Samba 为 客户 程序 提供 smbclient， 用 以 访问 Samba 共享 。 
smbclient 命令 的 格式 如 下 。 

(1) smbclient -L IP 或 NetBIOS。 

(2) smbclient //NetBIOS 或 IP/ 共 享 名 -U 用 户 名 。 

格式 (1) 用 于 显示 指定 主机 提供 的 共享 。 

格式 (2) 用 于 访问 指定 主机 的 制定 共享 。 

下 面 举例 说 明 smbclient 命令 的 使 用 。 

// 查 看 Samba 提供 的 共享 ， 如 图 8-19 所 示 

#smbclient -L samba 


// 以 dai 用 户 访问 Samba 的 共享 目录 dai 
#smbclient //samba/dai -U dai 


8-19 ”查看 共享 


输入 用 户 名 和 密码 ， 如 图 8-20 所 示 。 
一 旦 访问 成 功 ， 就 进入 了 一 个 交互 的 模式 ， 接 下 来 可 以 像 访 问 FTP 客户 端的 方法 通过 


单 8 部 Samba 用 和 中介 


输入 命令 的 方式 使 用 smbclient， 可 以 用 “?” 来 查看 命令 帮助 。 


root@localhost home]# smbclient //sasba/dai -dai 
5 ea] srrer leahe Hla 
Se 
D 0 sot 
D 
新 建 文本 文档 .txt A 
新 建 WWnRAR ZIP 压缩 文件 .zip a 
i 有 
ee 有 
se Dp 
‘de 
i 矩 crosoft PowerPoint 福 示 文稿 .ppt 
新 建 业 crosoft Word 文档 .doc A 
TJ a 
8976 blocks of size 1048576, 48232 blocks available 
nb: \> 
8-20 smbclient 访问 共享 的 方法 
= 9 
本 章 习 题 
一 、 填 空 题 
1. 在 Windows 的 网 络 邻居 下 访问 一 个 域内 的 其 他 机 器 是 通过 
2. SMB 是 一 个 遵循 模式 的 协议 及 C/S 架构 。 
3. Samba 守护 进程 是 和 
4. Samba 的 主 配置 文件 是 。 
5. smb.conf 文件 由 和 组 成 。 
6. 创建 Samba 账号 的 命令 是 : 


二 、 问 答题 
1. Samba 有 哪些 功能 ? 
2. 启动 、 停 止 和 重启 Samba 服务 器 的 命令 是 什么 ? 
3. Samba 有 几 个 安全 级 别 ? 分 别 是 什么 ? 
4. 配置 一 个 Samba 共享 ， 代 码 如 下 。 
[test1] 
Comment = mysamba 

Path = /home/test1 

Read only = yes 

Public = yes 

Writable=yes 
各 行 的 意思 是 什么 ? 
5. lmhosts 文件 的 作用 是 什么 ? 


协议 实现 的 。 


6. 使 用 smbclient 命令 连接 远程 计算 机 ， 远 程 计算 机 的 IP 地 址 是 192.168.1.20， 用 户 


名 是 tom， 密 码 是 passwod。 
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三 、 上 机 实 训 

根据 公司 的 信息 化 建设 要 求 ， 需 要 在 局 域 网 内 部 搭建 一 台 文 件 服务 器 ， 便 于 数据 的 集 
中 管理 和 备份 。 考 虑 到 服务 器 的 运行 效率 及 稳定 性 、 安 全 性 ， 选 择 在 Linux 操作 系统 中 构 
建 Samba 服务 器 以 提供 文件 资源 共享 服务 。 

需求 描述 

(1) 创建 3 个 文档 目录 。 

/var/share/public: 存放 公共 数据 。 

/var/share/training: 存放 技术 培训 资料 。 

/var/share/devel: 存放 项 目 开发 资料 。 

(2) 将 /var/share/public 目录 共享 为 public， 所 有 员工 可 匿名 访问 ， 但 是 只 能 读 取 文件 ， 
不 能 写 入 。 

(3) 将 /var/share/training 目录 共享 为 peixun， 只 允许 管理 员 admin 及 技术 部 的 员工 只 


访问 。 


(4) 将 /var/share/devel 目录 共享 为 kaifa， 技 术 部 的 员工 都 可 以 读 取 该 目录 中 的 文件 ， 
但 是 只 有 管理 员 admin 及 benet 项 目 组 的 员工 有 写 入 权限 。 
实现 思路 


(D 
(CO) 
G) 
(4 
G) 
(O) 
(7) 
(8) 
(9) 


二 


用 户 账号 及 目录 调整 。 

技术 部 的 员工 账户 属于 tech 基本 组 。 

benet 项 目 组 的 员工 账户 属于 benet 基本 组 ，tech 作为 附加 组 。 

将 /var/share/devel 目录 的 组 改 为 benet， 并 为 组 权限 增加 可 写 (w) 属 性 。 
将 admin 作为 root 用 户 的 映射 账户 。 

修改 snmb.conf 文件 ， 添 加 相应 的 共享 目录 段 。 

通过 配置 项 username map 建立 用 户 名 映射 。 

匿名 共享 和 用 户 验 证 共享 共存 时 ， 安 全 级 别 保持 为 share。 

验证 共享 服务 时 可 使 用 smbclient 命令 。 


\ 


O00 
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学 习 目 的 与 要 求 : 
FTP 文件 传输 服务 是 Internet 中 最 早 提供 的 服务 之 一 。FTP 服务 提供 了 在 Internet 的 任 
意 两 台 计 算 机 之 间 相互 传输 文件 的 机 制 ， 它 是 广大 用 户 获得 丰富 的 Internet 资源 的 重要 方 


法 之 一 。 本 章 介 绍 Linux 下 的 FTP 服务 器 的 知识 和 配置 方法 。 通 过 对 本 章 的 学 习 ， 读 者 应 
该 做 到 以 下 几 点 。 


熟悉 FTP 的 工作 原理 。 

熟悉 FTP 的 3 种 传输 模式 。 

熟练 配置 给 予 虚拟 账号 的 FTP 服务 器 。 
熟练 配置 给 予 FTP 的 Yum 服务 器 。 


9.1 FTP 概述 


自从 有 了 网 络 ， 文 件 的 传输 就 是 一 个 非常 重要 的 工作 。 在 Intemet 发 展 之 初 ， FTP 就 
已 经 应 用 在 文件 的 传输 方面 ， 而 且 是 文件 传输 的 重要 角色 。 在 今天 的 互联 网 上 占有 最 大 流 
量 的 也 是 FTP 服务 器 。 

FTP 服务 是 Intemet 上 最 早 应 用 于 主机 之 间 文 件 传输 的 基本 服务 之 一 。FTP 服务 的 一 
个 非常 重要 的 特点 就 是 其 可 以 独立 于 平台 ， 也 就 是 说 在 大 多 数 的 操作 系统 上 都 可 以 搭建 
FTP 服务 器 。 


9.1.1 FTP 简介 


1. FTP 的 协议 


FTP(File Transfer Protocol， 文 件 传 输 协议 ) 定 义 了 远程 计算 机 和 本 地 计算 机 之 间 文 件 传 
输 的 一 种 标准 。FTP 运行 在 OSI 七 层 模型 的 应 用 层 ， 并 使 用 TCP/IP 协议 进行 数据 的 传 
输 。TCP/IP 协议 是 一 种 面向 连接 的 、 可 靠 的 传输 协议 ， 这 种 可 靠 性 保证 了 FTP 文件 传输 
的 可 靠 性 。 

2. FTP 的 运行 原理 

FTP 协议 采用 C/S 模式 ， 通 过 一 个 支持 FTP 协议 的 客户 机 程序 ， 连 接 到 远程 的 FTP 
服务 器 上 。 用 户 通过 客户 机 程序 向 服务 器 发 送 指令 ， 服 务 器 程序 执行 用 户 所 发 来 的 指令 ， 
并 将 其 结果 返回 到 客户 机 上 。 

一 个 FTP 会 话 通常 包括 5 个 软件 元 素 的 交互 ， 见 表 9-1。 


表 9-1 软件 元 素 


提供 了 一 个 用 户 接口 并 使 用 客户 协议 解释 器 的 服务 
客户 端 协议 解释 器 (CPD 向 远程 服务 器 协议 机 发 送 命令 并 且 驱 动 客户 数据 传输 的 过 程 


服务 器 协议 解释 器 (SPD 响应 客户 协议 机 发 出 的 命令 并 驱动 服务 器 数据 传输 的 过 程 
客户 端 数据 传输 协议 (CDTP) 负责 完成 和 服务 器 数据 传输 过 程 及 客户 端 本 地 文件 系统 的 通信 
服务 器 数据 传输 协议 (SDTP) 负责 完成 和 客户 数据 传输 过 程 及 服务 器 端 文 件 系 统 的 通信 


大 多 数 的 TCP 应 用 协议 使 用 单个 连接 ， 一 般 是 客户 向 服务 器 的 一 个 知名 端口 发 起 连 
接 ， 然 后 使 用 它 来 连接 并 进行 通信 。 但 是 FTP 协议 却 有 所 不 同 ， 其 运行 时 要 使 用 两 个 TCP 
连接 ， 在 FTP 会 话 中 会 存在 两 个 独立 的 TCP 连接 ， 一 个 是 由 CPI 和 SPI 使 用 的 控制 连接 
(Control Connection)， 另 一 个 是 由 CDTP 和 SDTP 使 用 的 数据 连接 (Data Connection)。FTP 
独特 的 双 端口 连接 结构 的 优点 在 于 : 两 个 连接 可 以 选择 不 同 的 合适 的 服务 质量 (如 对 控制 连 
接 来 说 ， 需 要 更 短 的 延迟 时 间 ; 对 于 数据 连接 来 说 ， 需 要 更 大 的 数据 吞吐 量 )。 
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控制 连接 主要 用 来 传送 在 实际 通信 过 程 中 需要 执行 的 FTP 命令 及 命令 的 响应 。 控 制 连 
接 是 由 客户 端 发 起 的 通 往 FTP 服务 器 的 连接 。 其 并 不 传输 数据 ， 只 用 来 传输 控制 数据 传输 
的 FTP 命令 及 其 响应 ， 因 此 控制 连接 只 需要 很 小 的 网 络 带宽 。 通 常情 况 下 ，FTP 服务 器 监 
听 端 口号 21 来 等 待 控制 连接 建立 请 求 ， 控 制 连接 建立 以 后 并 不 是 立即 传输 数据 ， 而 是 服 
务 器 先 通过 一 定 的 方式 来 验证 客户 的 身份 ， 以 决定 是 否 建 立 数据 传输 。 

数据 连接 用 来 传输 用 户 的 数据 ， 在 客户 端 要 求 进行 目录 列表 、 上 传 及 下 载 操作 时 ， 客 
户 和 服务 器 将 建立 一 条 数据 连接 。 这 里 的 数据 连接 是 全 双 工 的 ， 允 许 同时 进行 双向 的 数据 
传输 且 可 以 上 传 和 下 载 同 时 进行 。 

在 数据 连接 存在 的 时 间 内 ， 控 制 连接 肯定 是 存在 的 。 一 旦 控制 连接 断 开 ， 数 据 连接 也 
就 会 自动 断 开 。 

3. FTP 的 数据 传输 模式 


FTP 的 数据 传输 模式 是 针对 FTP 数据 连接 而 言 的 ， 分 为 主动 传输 模式 、 被 动 传输 模式 
和 单 端口 传输 模式 3 种 。 

1) 主动 传输 模式 

当 FTP 的 控制 连接 建立 ， 且 客户 提出 目录 列表 、 传 输 文件 时 ， 客 户 端 发 送 PORT 命令 
与 服务 器 进行 协商 ，FTP 服务 器 使 用 一 个 标准 的 端口 20 作为 服务 器 端的 数据 连接 端口 (ftp- 
data) 与 客户 机 建立 连接 。 端 口 20 只 用 于 连接 源 地 址 是 服务 器 端的 情况 ， 并 且 在 端口 20 上 
没有 监听 进程 和 监听 客户 的 请 求 。 

在 主动 传输 模式 下 ，FTP 的 数据 连接 和 控制 连接 的 方向 是 相反 的 ， 也 就 是 说 是 服务 
器 向 客户 端 发 起 一 个 用 于 数据 传输 的 连接 ， 客 户 端的 连接 端口 是 由 服务 器 和 客户 端 协商 
确定 的 。 

2) 被 动 传输 模式 

当 FTP 的 控制 连接 建立 ， 且 客户 提出 目录 列表 、 传 输 文件 时 ， 客 户 端 发 送 的 PASV 命 
令 使 服务 器 处 于 被 动 传输 的 模式 下 ，FTP 服务 器 等 待 客户 与 其 联系 。FTP 服务 器 在 非 20 
端口 的 其 他 数据 传输 端口 上 监听 客户 请 求 。 

在 被 动 传输 模式 下 ，FTP 的 数据 连接 和 控制 连接 的 方向 是 一 致 的 ， 也 就 是 说 是 客户 端 
向 服务 器 发 起 一 个 用 于 数据 连接 的 连接 ， 客 户 端的 连接 端口 是 发 起 这 个 数据 连接 请 求 时 使 
用 的 端口 号 。 

当 FTP 客户 在 包 过 滤 防 火 墙 之 后 对 外 来 访问 FTP 服务 器 时 ， 需 要 使 用 被 动 传输 模 
式 。 因 此 ， 通 常情 况 下 ， 防 火 墙 允许 所 有 内 部 用 户 访问 外 网 ， 但 是 对 于 外 部 向 内 部 发 起 的 
连接 却 存在 很 多 限制 。 在 这 种 情况 下 ， 客 户 可 以 正常 地 和 服务 器 建立 控制 连接 ， 而 如 果 使 
用 主动 传输 模式 ，ls、put 和 get 等 数据 传输 命令 就 不 能 成 功 使 用 ， 因 为 防火 墙 会 堵塞 从 外 
部 服务 器 向 内 部 客户 发 起 的 数据 传输 连接 。 简 单 的 包 过 滤 防 火 墙 把 控制 连接 和 数据 传输 连 
接 完全 分 离开 处 理 ， 因 此 很 难 通过 配置 防火 墙 来 允许 主动 传输 模式 的 FTP 数据 传输 连接 通 
过 。 而 使 用 被 动 传输 模式 一 般 可 以 解决 该 问题 ， 因 此 在 被 动 模式 下 ， 数 据 连接 是 由 客户 端 
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发 起 的 ， 不 过 这 要 看 FTP 服务 器 和 客户 程序 是 否 支持 被 动 传输 模式 。 在 Linux 环境 下 的 命 
令 行 ，FTP 客户 程序 一 般 使 用 passive 命令 开 / 关 被 动 传输 模式 。 

3) 单 端口 传输 模式 

在 FTP 协议 中 ， 除 了 被 动 传输 模式 和 主动 传输 模式 之 外 ， 还 有 另 一 种 数据 传输 模式 ， 
即 单 端口 传输 模式 。 如 果 客 户 程序 既 不 向 服务 器 发 出 PASV 命令 ， 也 不 发 送 PORT 命令 ， 
当 FTP 的 控制 连接 建立 ， 且 客户 提出 目录 列表 、 传 输 文件 时 ，FTP 服务 器 就 会 使 用 FTP 
协议 的 数据 传输 端口 20) 和 客户 端的 控制 连接 端口 建立 一 个 数据 传输 连接 。 这 就 需要 客户 
程序 在 这 个 端口 上 监听 。 

这 种 模式 的 数据 连接 请 求 是 由 FTP 服务 器 发 起 的 ， 使 用 这 种 模式 时 客户 端的 控制 连接 
所 使 用 的 端口 和 客户 端的 数据 连接 所 使 用 的 端口 是 一 致 的 。 

这 种 模式 最 大 的 缺点 是 无 法 在 短期 内 连续 输入 数据 传输 命令 ， 用 户 经 常会 遇 到 “bind: 
address already in use” 等 错误 信息 ， 这 是 TCP 协议 造成 的 。 因 此 这 种 模式 并 不 经 常 使 用 。 

4. FTP 典型 的 消息 

在 使 用 FTP 客户 程序 与 服务 器 进行 通信 时 ， 经 常会 看 到 一 些 由 FTP 服务 器 发 送 的 消 
息 ， 这 些 消 息 是 FTP 协议 定义 的 。 表 9-2 列 出 了 一 些 典型 的 FTP 消息 。 

表 9-2 典型 的 FTP 消息 


消息 号 含义 
125 数据 连接 打开 ， 传 输 开始 
200 命令 执行 成 功 
266 数据 传输 完毕 
331 用 户 名 称 正确 ， 需 要 输入 密码 
425 不 能 打开 数据 连接 
426 数据 连接 被 关闭 ， 传 输 被 中 断 
452 错误 写 文件 
500 语法 错误 ， 不 可 识别 的 命令 


9.1.2 Linux 下 的 FTP 服务 器 


目前 在 Linux 下 常用 的 FTP 服务 器 软件 主要 有 WU-FTP、ProFTP 和 VSFTP。 本 书 主 
要 介绍 VSFTP。 

1. FTP 客户 端 和 FTP 服务 器 

许多 涉足 Linux 网 络 的 初学 者 ， 不 能 严格 地 区 分 FTP 客户 端 和 FTP 服务 器 。 例 如 ， 不 
知道 如 何 下 载 整个 目录 是 FTP 客户 端的 管辖 范围 ， 能 够 匿名 上 传 是 服务 器 的 管辖 范围 。 因 
此 有 必要 了 解 哪个 是 FTP 客户 端 程序 ， 哪 个 是 FTP 服务 器 程序 ， 以 方便 初学 者 将 其 与 
Windows 系统 对 比 ， 对 这 两 个 概念 有 一 个 明确 的 认识 ， 见 表 9-3。 
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表 9-3 两 个 平台 下 常用 的 FTP 客户 端 和 服务 器 端 程序 


Windows 环境 


vsftpd JIS 
FTP 服务 器 程序 proft Serv-U 


Wu-fipd 
fip/ncfip 命令 行 工 具 FTP 命令 行 工具 


FTP 客户 端 程序 TP Cuteftpro 


浏览 器 Mozilla 浏览 器 正 


2. Linux 环境 下 的 FTP 服务 器 


目前 在 Linux 环境 中 有 3 种 常用 的 FTP 服务 器 。 它 们 是 wu-ftpd、vsftpd、proftpd，3 
个 FTP 程序 都 是 基于 GPL 协议 开发 的 。 

1) wu-ftpd 

它 是 历史 最 久 的 一 款 非 商业 的 FTP 服务 器 程序 之 一 ， 也 是 Internet 上 最 流行 的 FTP 守 
护 进程 。 其 功能 十 分 强大 ， 可 以 架构 多 种 FTP 服务 器 ， 是 一 款 稳定 、 强 大 的 FTP 服务 器 
程序 ， 但 是 wu-ftpd 发 行 比较 早 ， 服 务 器 组 织 较为 零散 ， 安 全 性 比 proftpd 和 vsftpd 差 。 

wu-ftpd 服务 器 具有 以 下 特点 。 
[以 在 用 户 下 载 文件 的 同时 对 文件 做 自动 的 压缩 或 解压 缩 操作 。 
可 以 对 不 同 网 络 上 的 机 器 做 不 同 的 存 取 限制 。 
以 记录 文件 上 传 和 下 载 的 时 间 。 
[以 显示 传输 时 的 相关 信息 ， 方 便 用 户 及 时 了 解 目前 的 传输 动态 。 
以 设置 最 大 连接 数 ， 提 高 效率 ， 有 效 地 控制 负载 。 

2) proftpd 

proftpd 虽然 较 之 wu-ftpd 具有 极 佳 的 特点 ， 但 是 它 还 是 欠缺 许多 Win32 平台 上 的 
FTPServer 的 特色 ， 同 时 wu-ftpd 也 存在 着 许多 漏洞 。proftpd 的 开发 者 曾经 花费 大 量 的 时 
间 去 发 气 wu-ftpd 的 漏洞 ， 试 图 对 其 加 以 改进 ， 并 添加 了 许多 功能 ， 但 遗憾 的 是 ， 他 们 发 
现 需要 重新 改写 wu-ftpd 才能 补足 其 缺乏 的 一 些 功能 ， 在 这 种 情况 下 ，proftpd 就 诞生 了 。 
proftpd 的 代码 不 是 从 其 他 FTP 服务 器 修改 而 成 ,恰恰 相反 ， 它 的 源码 是 完全 独立 的 。 
proftpd 的 开发 者 的 编写 目的 是 追求 一 个 安全 、 易 于 设 定 的 FTPServer。Proftpd 的 配置 比较 
容易 ， 速 度 也 比较 快 ， 而 且 它 的 源码 也 很 干净 ， 配 置 非常 容易 。 

proftpd 具有 以 下 特点 。 
可 以 设置 从 inetd 启动 ， 或 者 是 独立 启动 的 两 种 运行 方式 。 
匿名 FTP 的 根 目录 不 需要 任何 特殊 的 目录 结构 。 
不 执行 任何 外 部 程序 ， 从 而 减少 了 安全 隐患 。 
支持 shadow 密码 ， 包 括 支 持 密码 过 期 机 制 。 


Se eg@ @ @ 
| | 


避 
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@ 以 非 root 身份 运行 ， 从 而 减少 了 安全 隐患 。 
@ 强大 的 log 功能 ， 支 持 utmp/wtmp 及 wu-ftpd 格式 的 记录 标准 ， 并 支持 扩展 功能 。 
@ 设 定 多 个 虚拟 的 FTPServer， 而 匿名 FTP 服务 器 更 是 十 分 容易 。 
3) vsftpd 
vsftpd 是 基于 GPL 发 布 的 Unix 系统 上 使 用 的 FTP 服务 器 软件 ， 其 中 的 VS 是 “Very 
Secure” 的 缩写 ， 从 名 称 上 可 以 看 出 其 代码 的 安全 性 。 
安全 性 是 编写 vsftpd 的 初衷 ， 除 了 与 生 俱 来 的 安全 性 能 之 外 ， 高 速 、 稳 定 的 性 能 也 是 
vsftpd 的 特点 。 
在 速度 方面 ， 使 用 ASCII 模式 下 载 数据 时 ，vsftpd 的 速度 是 wu-ftpd 的 两 倍 ; 在 性 能 
方面 ， 它 可 以 在 单机 ( 非 集群 ) 上 支持 4000 个 并 发 用 户 的 连接 。 
vsftpd 有 以 下 特点 。 
是 一 个 安全 、 高 速 、 稳 定 的 服务 器 。 
可 以 基于 卫 设置 多 个 虚拟 的 FTPServer。 
匿名 的 FTP 服务 更 容易 。 
不 执行 任何 外 部 程序 ， 从 而 减少 了 安全 隐患 。 
支持 虚拟 用 户 ， 并 支持 每 个 虚拟 用 户 独 立 的 配置 。 
可 以 设置 从 inetd， 或 者 是 独立 的 FTP 服务 器 启动 的 两 种 运行 方式 。 
支持 带宽 限制 。 


9.1.3 使 用 FTP 服务 器 


1. FTP 服务 的 使 用 

一 般 来 说 ， 传 输 文件 的 用 户 需 要 先 经 过 认证 后 才能 登录 网 站 ， 然 后 才能 访问 、 传 输 服 
务 器 上 的 文件 。 

根据 FTP 服务 器 服务 的 对 象 不 同 ， 可 以 将 FTP 用 户 分 为 3 类 ， 即 本 地 用 户 、 虚 拟 用 
户 和 匿名 用 户 。 

如 果 用 户 在 远程 服务 器 上 有 账号 ， 该 用 户 为 本 地 用 户 ， 本 地 用 户 可 以 输入 自己 的 账号 
和 口令 来 进行 授权 登录 ; 如 果 用 户 在 远程 服务 器 上 拥有 账号 ， 并 且 此 账号 只 能 用 于 文件 的 
传输 ， 则 称 此 用 户 为 虚拟 用 户 或 Guest 用 户 ， 如 果 用 户 在 远程 服务 器 上 没有 账号 ， 则 称 此 
用 户 为 匿名 用 户 。 

2. FTP 客户 端的 使 用 


下 面 介 绍 Linux 环境 的 FTP 命令 行 客户 程序 的 使 用 。Linux 环境 下 常用 的 FTP 命令 行 
客户 程序 是 FTP。 由 于 FTP 是 交互 式 的 命令 行 工具 ， 所 以 使 用 FTP 需要 掌握 许多 FTP 子 
命令 。 表 9-4 列 出 了 常用 的 FTP 子 命令 。 
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表 9-4 FTP 常用 的 子 命令 


命令 说 明 
? lhelp 显示 FTP 内 部 命令 及 相应 的 帮助 信息 
! 在 本 地 执行 交互 shell 命令 后 回 到 FTP 环境 
Lecd 切换 本 地 工作 目录 
open hsot [port] 建立 指定 FTP 服务 器 的 连接 ， 可 以 指定 连接 的 端口 
Close 中 断 与 FTP 服务 器 的 对 话 
Asc 使 用 ASCI 类 型 传输 方式 
Bin 使 用 二 进 制 方式 传输 
Pwd 显示 远程 主机 当前 的 工作 目录 
mkdir-dir-name 在 远程 主机 中 建 一 个 目录 
ls[remote-dir][local-file] 显示 远程 目录 remote-dir， 并 存 入 本 地 文件 local-file 
size file-name 显示 远程 主机 文件 的 大 小 
get remote-file [local-file 将 远程 主机 文件 remote-file 传 至 本 地 硬盘 的 local-file 目录 
mget remote-file 传输 多 个 文件 
reget remote-file [local-file 类 似 于 get， 但 车 local-file 存在 ， 则 从 上 次 传输 中 断 处 续 传 
put local-file [remote-file 将 本 地 文件 local-file 传送 至 远程 主机 
mput local-file 将 多 个 文件 传送 到 主机 上 
rename [from][to 更 改 远程 主机 文件 名 
delete remote-file 删除 远程 主机 文件 
mdelete [remote-file 删除 远程 主机 上 的 多 个 文件 
rmdir dir-name 删除 远程 主机 目录 
Status 显示 当前 的 FTP 状态 
bye/quit 退出 FTP 会 话 

9.2 vsftpd 的 默认 配置 


本 节 介 绍 常用 的 vsftpd 的 安装 、 配 置 及 使 用 。 


39321 


vsftpd 的 安装 


Red Hat 自 带 了 vsftpd， 笔 者 以 RPM 的 安装 方法 为 例 介 绍 vsftpd 的 安装 方法 。 如 果 用 
户 已 经 安装 了 vsftpd， 可 以 跳 过 此 步骤 。 


1. 从 rpm 安装 vsftpd 


代码 如 下 : 


// 查 看 系统 是 否 安装 了 vsftpd 软件 包 
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#rpm -qalgrep vsftpd 

// 插 入 RedHat 光盘 ， 在 光盘 中 找到 vsftpd.2.0.5-10 .el15.i386.rpm 文件 所 在 目录 ， 输 入 下 
// 面 的 命令 安装 vsftpd 软件 

#rpm -ivh vsftpd.2.0.5-10.e15.i386.rpm 


2. 启动 vsftpd 服务 


安装 完成 后 ， 即 可 直接 启动 服务 ，Red Hat 默认 vsftpd 以 独立 方式 启动 ， 需 要 使 用 命 
令 service vsftpd start 启动 ， 如 图 9-1 所 示 。 


| rootelocalhost“jF service vsftpd start 
letc/sysconfig/network: line 3: SERVER: command not found 
为 vsftpd 启动 vsftpd [确定 ] 
[root@localhost ~]# pstree |grep vsftpd 
1-~vsftpd 
[root@localhost ~]#= 目 


9-1 启动 vsftpd 


如 果 希 望 vsftpd 在 下 一 次 计算 机 启动 时 ， 在 5 运行 级 别 环境 下 自动 启动 ， 输 入 命令 
ntsysv， 选 择 vsftpd 即 可 。 


3. vsftpd 中 的 配置 文件 


vsftpd 中 有 3 个 配置 文件 ， 它 们 分 别 是 /etc/vsftpd/vsftpd.conf、/etc/vsftpd/user_list 和 
/etc/vsftpd/ftpusers。 其 中 vsftpd.conf 是 主 配 置 文件 ，ftpusers 指定 了 哪些 用 户 不 能 访问 FTP 服 
务 器 ;user_list 中 指定 的 用 户 在 vsftpd.conf 中 设置 了 user enable=YES 且 userlist_deny=YES 
时 ， 不 能 访问 服务 器 ， 当 在 vsftpd.conf 中 设置 了 user_enable=YES 且 userlist_deny=NO 时 ， 
仅 允 许 user list 中 指定 的 用 户 访问 服务 器 。 


9.2.2 默认 配置 


下 面 介绍 vsftpd 服务 的 默认 配置 。 
1. 查看 默认 配置 
使 用 如 下 操作 可 以 查看 vsftpd 中 默认 主 文件 的 配置 。 


# grep -V "#" /etc/vsftpd/vsftpd.conf 
// 人 允许 匿名 登录 

# _ anonymous_enable=yes 

// 人 允许 本 地 登录 

#local enable=yes 

// 开 放 本 地 用 户 写 的 权限 

#write enable=yes 

// 人 允许 匿名 账户 在 FTP 服务 器 中 创建 目录 


#anon mkdir write _ enable=yes 
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// 设 置 本 地 用 户 的 文件 生成 掩 码 为 022， 默 认 值 为 007 
#1local umask=022 

// 激 活 目录 信息 ， 当 远程 用 户 更 改 目录 时 将 出 现 提示 信息 
#dirmessage enable=yes 

// 启 动 上 传 和 下 载 日 志 功能 

#xferlog enable=yes 

// 启 用 FTP 数据 端口 的 连接 请 求 
#connect form prot 20=yes 

// 是 否 启用 标准 的 ftpd xferlog 日 志文 件 格式 
#xferlog std format=yes 

// 使 vsftpa 处 于 独立 启动 模式 

#1isten=yes 

// 设 置 PAM 认证 服务 的 配置 文件 名 称 ， 该 文件 存储 在 /etc/pam.d/ 目 录 下 
#pam service name=vsftpd 

// 文 件 中 所 列 的 用 户 均 不 能 访问 此 vsftpa 服务 器 
#userlist enable=yes 

// 使 用 tcp_wrappers 作为 主机 访问 控制 方式 


#tcp_ wrappers=yes 


2. 测试 Red Hat Linux 中 的 默认 配置 (使 用 匿名 用 户 ) 


执行 下 面 操作 ， 可 以 测试 Red Hat Linux 中 的 vsftpd 的 默认 配置 。 在 默认 情况 下 ， 匿 
名 服务 器 下 载 目录 /var/ftp/pub 中 没有 任何 文件 。 为 了 进行 测试 ， 现 向 目录 中 复制 了 一 些 
文件 ， 具 体 如 下 。 

// 生 成 目录 信息 文件 /var/ftp/pub/.message 


#echo "welcome to china" > /var/ftp/pub/.message 
// 使 用 FTP 客户 端 连接 FTP 服务 器 

# ftp (FTP 服务 器 的 IP 地 址 ) 192.168.0.29 
Connected to 192.168.0.29 

220 <vsftpd 2.0.5> 

// 使 用 匿名 用 户 登录 (ftp 或 anonymous) 

User (192.168.0.29:; (none)) ftp 

331 please specify the password 

// 输 入 一 个 E-mail 作为 FTP 的 密码 

Password 

230 login successful 

// 进 入 FTP 的 下 载 目 录 

ftp>cd pub 

// 此 处 显示 .message 文件 的 内 容 

250- welcome to china 

2520 Directory successfully changed 

// 查 看 pub 内 容 

ftp>ls 

// (此 处 不 再 显示 pub 中 的 内 容 ) 

// 下 载 其 中 一 个 文件 VMareTools-5.5.3-34695.tar.gz 


Al 


< 
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ftp>mget VMare* 

200 Switching to ASCIT mode 

Mget VMareTools-5.5.3-34695.tar.gz ? Y 

// 下 载 过 程 不 再 显示 

// 出 现下 面 提 示 ， 表 示 下 载 成 功 

266 File send ok 

ftp: 收 到 17553676 字 节 ， 用 时 1.64seconds 10703.46kbytes/sec. 
// 使 用 命令 查看 本 地 列表 

ftp>!dir 

// 此 处 本 地 列表 不 再 一 一 显示 

// 确 认 VMareToo1s-5.5.3-34695.tar.gz 已 经 下 载 到 本 地 
作 正 传 二 个 交 作 

ftp>put lookE.text 

// 上 传 失败 

// 退 出 FTP 服务 器 

ftp>bye 

221 Goodbye 


具体 访问 过 程 如 图 9-2 所 示 。 


图 9-2 FTP 的 使 用 1 
3. 测试 Red Hat Linux 中 的 默认 配置 (使 用 本 地 账号 ) 
执行 下 面 的 操作 ， 可 以 测试 Red Hat Linux 中 的 默认 配置 。 


// 使 用 本 地 账号 登录 FTP 服务 器 
#ftp 192.168.0.29 


#9s_FTPi5SRE II 昌 


Connected to 192.168.0.29 

220 <vsftpd 2.0.5> 

// 使 用 本 地 账号 登录 服务 器 

User (192.168.0.29: (none))dai 

331 please specify the password 

// 输 入 该 用 户 的 密码 口令 

Password 

230 login successful 

// 现 在 FTP 使 用 的 下 载 目录 是 dai 用 户 的 主 目录 /home/dai 
ftp>pwd 

257"/home/dai"™ 

// 显 示 目 录 内 容 

ftp>ls 

// 目 录 中 的 内 容 不 再 显示 

// 下 载 一 个 文件 bind-9.3.3-7.el15.i386.rpm 
ftp>mget bind-9.3.3-7.e15.i386.rpm 

// 下 载 过 程 不 再 显示 

// 出 现下 面 提示 ， 表 示 下 载 成 功 

266 File send ok 

ftp: 收 到 976657 字 节 ， 用 时 0.09seconds 10501.69kbytes/sec 
// 使 用 命令 查看 是 否 已 经 下 载 

ftp>!dir 

// 已 经 下 载 到 本 地 

// 上 传 一 个 文件 VMareTools-5.5.3-34695.tar.gz 
ftp>put VMareTools-5.5.3-34695.tar.gz 

// 出 现 以 下 提示 ， 表 示 已 经 上 传 成 功 

200 PORT dommand successful. Consider using PASU 
150 ok to send data 

226 File receive OK 

ftp: 发 送 17553676 字 节 ， 用 时 1.58Seconds 11124.00kbytes/sec 
// 查 看 远程 服务 器 

ftp>ls 

//VMareTools-5.5.3-34695.tar.gz 已 经 上 传 成 功 

// 退 出 远程 服务 器 

ftp>bye 

221 Goodbye 


具体 访问 过 程 如 图 9-3 所 示 。 通 过 上 述 默 认 配 置 可 以 得 出 以 下 结论 。 
(1) FTP 服务 器 允许 匿名 用 户 和 本 地 用 户 登录 。 

(2) 匿名 用 户 可 以 下 载 ， 但 不 能 上 传 文件 。 

(G3) 本 地 用 户 可 以 上 传 和 下 载 文件 。 

(4) 匿名 用 户 的 用 户 名 是 fp 或 anonymous， 口令 是 一 个 E-mail 地 址 。 
(5) 本 地 用 户 的 口令 是 本 地 用 户 的 口令 。 
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图 9-3 FTP 的 使 用 2 


9.3 修改 vsftpd 的 默认 配置 


前 面 介 绍 了 vsftpd 的 默认 配置 及 使 用 。 有 时 用 户 可 能 有 诸如 允许 匿名 上 传 等 特殊 的 
FTP 需求 ， 这 时 简单 使 用 默认 的 配置 就 不 能 满足 用 户 要 求 ， 用 户 可 以 根据 自己 的 需要 ， 通 
过 修改 vsftpd 的 相关 配置 文件 参数 来 达到 自己 的 目的 。 下 面 就 修改 vsftpd 配置 的 方法 做 详 
细 介 绍 。 


9.3.1 允许 匿名 用 户 上 传 


多 数 FTP 都 应 提供 匿名 访问 ， 它 使 得 所 有 用 户 都 能 通过 一 个 通用 的 账户 来 访问 FTP 
公共 区 域 。 匿 名 用 户 存在 也 是 使 FTP 受 欢 迎 的 原因 之 一 ， 它 可 以 使 用 户 不 受 约束 地 去 访问 
和 下 载 所 需 的 公共 资源 。 

1. 配置 允许 匿名 用 户 上 传 和 建立 文件 夹 

有 些 情况 下 ，FTP 服务 器 允许 匿名 用 户 有 上 传 的 功能 ， 需 要 在 /etc/vsftpd 中 激活 两 个 
选项 ， 分 别 是 anon_upload_enable 和 anon mkdir write_enable。 其 具体 步骤 如 下 。 

// 备 份 默认 配置 文件 


#cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.cp 
// 修 改 如 下 两 行 ， 把 前 面 的 “#” 删 掉 


#anon upload enable=YES // 人 允许 匿名 用 户 上 传 

#anon mkdir write enable=YES // 开 启 匿名 用 户 在 FTP 服务 器 上 具有 写 和 创建 目录 的 权限 
// 保 存 退 出 vi 

// 创 建 匿名 上 传 目录 


#mkdir /var/ftp/in 
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// 修 改 目录 的 权限 
#chmod o+W /var/ftp/in 
// 重 新 启动 FTP 


#service vsftpd restart 


时 99gs， 512999. aakh 


图 9-4 测试 上 传 结果 图 9-5 测试 建立 文件 夹 的 结果 
2. 配置 文件 中 的 一 些 其 他 配置 


dirmessage_enable= YES: 激活 目录 信息 ， 

xferlog_enable=YES: 启用 上 传 和 下 载 日 志 功 能 。 

xferlog_file=/var/log/vsftpd.long: 设置 日 志 的 存储 目录 。 

xferlog std_ formaYES: 是 否 使 用 标准 的 ftpd xferlog 日 志 格式 。 

idle_session_timeout=600: 设置 空闲 的 用 户 会 话 中 断 时 间 。 

data_connection_timeout=120: 设置 连接 超时 时 间 。 

ascii download_enable=YES: 是 否 允 许 使 用 ascii 格式 来 上 传 和 下 载 文件 。 

ftpd_danner=Welcome to blah FTP service: 欢迎 信息 在 用 户 登 录 FTP 服务 器 时 会 显示 。 

chroot list_enable=YES: 如 果 希 望 用 户 登录 后 不 能 切换 到 自己 目录 以 外 的 其 他 目录 设 
置 此 项 。 


3. 设置 连接 服务 器 的 最 大 并 发 连接 数 和 用 户 的 最 大 线程 数 


FTP 服务 器 要 为 众多 用 户 提供 服务 ， 如 果 一 时 段 登录 FTP 服务 器 的 用 户 过 多 或 下 载 数 
据 过 大 ， 就 会 影响 服务 器 的 性 能 ， 因 此 在 建立 FTP 服务 器 时 ， 一 定 设置 连接 服务 器 的 最 大 


旦 用 户 更 改 目 录 时 显示 此 信息 。 


S 
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并 发 用 户 数 和 每 一 用 户 下 载 文件 的 最 大 线程 数 。 修 改 配置 文 件 /etc/vsftpd/vsftpd.conf， 添 加 
如 下 语句 。 


max_clients=100 // 设 置 同时 连接 FPT 服务 器 的 并 发 用 户 为 1000 
mas_ per ip=3 // 每 一 个 用 户 同一 时 段 并 发 下 载 线程 数 为 2， 同 时 只 能 放 在 两 个 文件 中 


4. 设置 匿名 用 户 的 最 大 传输 速率 
下 载 速率 对 FTP 服务 器 的 性 能 影响 很 大 ， 限 制 用 户 的 最 大 传输 速率 可 以 平均 分 配 网 
络 带宽 ， 增 强 网 络 的 流畅 性 ， 避 免 网 络 堵塞 ， 在 配置 文件 /etc/vsftpd/vsftpd.conf 中 添加 如 


下 语句 。 
anon max rate=20000 // 设 置 匿名 用 户 的 最 大 传输 速率 为 20Kb/s， 
// 此 外 也 可 以 设置 本 地 账号 设置 传输 速率 
Local max rate=100000 // 设 置 本 地 用 户 的 最 大 传输 速率 为 1Mb/s 


5. 禁止 某 些 IP 的 匿名 用 户 访问 FTP 服务 器 

某 些 情况 下 ，FTP 服务 器 不 想 对 某 些 主机 开放 ， 但 它们 又 处 在 同一 网 络 或 VLAN 中 
这 时 可 以 限制 某 些 主机 访问 FTP 服务 器 ， 方 法 如 下 。 

(1) 确认 配置 文件 /etc/vsftpd/vsftpd.conf， 文 件 中 有 如 下 语句 。 


tcp_wrappers=YES 
(2) 修改 文件 /etc/hosts.allow 如 下 。 


#Hosts.allow this file describes the names of the hosts which are 
# allow to use the local INET service, as decided 

# by the '/usr/sbin/tcpd' server. 

vsftpd:192.168.0.19:DENY 

vsftpd:192.168.0.106: DENY 


限制 192.168.0.19 和 192.168.0.106 两 个 了 P 地址 访问 FTP 服务 器 ， 切 记 一 定 要 在 卫 地 
址 前 面 加 上 “vsftpd”。 
(3) 测试 结果 如 图 9-6 所 示 。 


9-6 ”限制 访问 测试 
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6. 设置 数据 传输 中 断 时 间 间 隔 

如 果 用 户 和 FTP 服务 器 之 间 已 经 停止 传输 文件 ， 但 是 用 户 仍 一 直 和 FTP 服务 器 连 
接 ， 这 样 会 占用 网 络 带宽 和 FTP 服务 器 最 大 用 户 数 量 限制 等 资源 ， 因 此 ， 设 置 数据 传输 完 
成 后 多 长 时 间 中 断 与 服务 器 的 会 话 是 很 有 必要 的 。 

修改 配置 文件 vsftpd.conf 使 下 面 语 句 生 效 即 可 。 


Idle session timeout=600 // 去 掉 前 面 的 # 号 ， 设 置 空闲 的 用 户 会 话 中 断 时 间 为 10 分 钟 
Data_connection timeout=120// 去 掉 前 面 的 # 号 ， 设 置 数据 连接 超时 时 间 为 120 秒 


9.3.2 ”真实 账号 服务 器 


用 真实 账号 访问 服务 器 在 小 范围 内 对 FTP 服务 器 来 说 是 必要 的 。 下 面 就 介绍 用 真实 账 
号 访问 FTP 服务 器 的 几 种 设置 ， 首 先 要 建立 几 个 Linux 系统 用 户 (aaq、bbc)。 

1. 限制 用 户 列表 内 的 用 户 访问 FTP 服务 器 

对 /etc/vsftpd/user_list 文件 中 列 出 的 账号 设置 允许 访问 FTP 服务 器 是 很 重要 的 。 某 些 情 
况 下 是 绝对 不 允许 用 户 列表 中 的 用 户 访问 FTP 服务 器 的 ， 但 有 些 时 候 为 了 管理 方便 ， 也 有 
必要 开放 某 些 用 户 的 访问 权限 ， 有 以 下 两 种 方法 。 

(1) 用 户 列表 内 的 用 户 不 能 访问 FTP 服务 器 ， 而 其 他 不 在 列表 中 的 账户 可 以 访问 。 修 
改 配置 文件 vsftpd.conf 使 下 面 语句 生效 。 


userlist enable=YES 
同时 把 不 允许 访问 FTP 服务 器 的 用 户 账号 加 入 vsftpd.user_list 文件 中 ， 这 里 把 用 户 
aaq 加 入 vsftpd.user_list 文件 中 ， 如 图 9-7 所 示 。 

测试 结果 如 图 9-8 所 示 。 


图 9-7 将 aaq 用 户 添加 到 vsftpd. user-list 文 件 中 9-8 ”限制 用 户 测试 1 

图 9-8 显示 用 户 aaq 和 用 户 root 都 不 能 访问 FTP 服务 器 ， 但 是 用 户 dai 可 以 访问 。 

(2) 用 户 列表 内 的 用 户 允 许 访问 FTP 服务 器 ， 而 其 他 不 在 列表 中 的 用 户 不 能 访问 服务 
器 。 修 改 配置 文件 vsftpd.conf， 使 如 下 配置 参数 生效 。 


、 
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userlist deny=NO 


测试 结果 如 图 9-9 所 示 。 


图 9-9 ”限制 用 户 测试 2 


如 图 9-9 所 示 ， 用 户 aaq 可 以 访问 FTP 服务 器 ， 但 是 用 户 dai 不 可 以 访问 ， 和 图 9-8 
所 显示 的 正好 相反 。 

2. 更 改 FTP 服务 器 的 端口 号 

在 FTP 服务 器 端 ，FTP 服务 器 有 两 个 默认 的 端口 号 ， 即 20、21。 其 中 端口 21 用 于 发 
送 和 接收 FTP 控制 信息 ，FTP 服务 器 通过 监听 这 个 端口 来 判断 是 否 有 FTP 客户 的 连接 请 
求 ， 一 旦 FTP 会 话 建立 后 ， 端 口 21 的 连接 就 会 在 会 话 间 始 终 保持 打开 状态 。 端 口 20 用 于 
发 送 和 接收 FTP 数据 (ASCII 码 或 二 进 制 文件 )， 该 数据 端口 只 有 在 传输 数据 时 打开 ， 并 在 
传输 数据 结束 时 关闭 。 

- 般 情 况 下 ， 所 有 的 客户 端 用 户 ， 在 登录 FTP 服务 器 时 不 需要 输入 服务 器 默认 端口 

号 ， 但 是 有 时 出 于 安全 的 考虑 ， 有 必要 为 FTP 服务 器 制定 特殊 的 端口 号 ， 这 在 一 定 程度 上 
增 大 了 “黑客 ”攻击 服务 器 的 难度 。 

可 以 在 配置 文件 vsftpd.conf 中 添加 如 下 语句 。 

lsten port=6666 // 指 定 服务 器 的 端口 

测试 结果 如 图 9-10 所 示 。 

3. 设置 群 组 方式 访问 FTP 服务 器 

为 了 设置 不 同 的 安全 级 别 及 管理 方便 ， 有 时 候 可 
以 采用 用 户 群 组 方式 访问 FTP 服务 器 ， 这 样 可 以 设置 
不 同 用 户 对 同一 目录 具有 不 同 的 访问 权限 。 例 如 ， 组 
test 有 3 个 用 户 testl 、test2、test3， 要 求 用 户 testl 对 
目录 /home/test 目录 有 读 、 写 、 执 行 的 权限 。 而 用 户 test2 和 用 户 test3 对 目录 /home/test 只 
有 读 和 执行 权限 。 

建立 组 test 和 用 户 testl 、test2 、test3 。 选 择 系统 管理 中 的 用 户 和 组 ， 单 击 “ 添 加 组 
群 ”按钮 ， 输 入 组 名 称 “test”， 如 图 9-11 和 图 9-12 所 示 。 


9-10 通过 其 他 端口 使 用 FTP 
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图 9-11 新 建 组 1 图 9-12 新 建 组 2 


设置 完 组 后 建立 用 户 ， 按 提示 输入 用 户 名 密码 ， 在 创建 用 户 的 界面 上 不 要 选中 “创建 
主 目录 ”和 “为 该 用 户 创建 私人 组 群 ” 复 选 框 ， 并 在 “用 户 属性 ”窗口 中 的 “ 主 目录 ” 文 
本 框 中 输入 “/home/test”， 如 图 9-13 和 图 9-14 所 示 。 


图 9-13 新 建 用 户 1 图 9-14 新 建 用 户 2 


将 用 户 加 入 到 组 test 中 ， 双 击 test 组 ， 选 择 群 组 用 户 ， 如 图 9-15 所 示 。 

设置 目录 /home/test 的 属性 ， 在 “test 属性 ”对 话 框 中 选择 “权限 ”选项 卡 ， 在 “所 有 
者 ”下 拉 列 表 框 中 选择 test1， 在 “ 群 组 ”下 拉 列 表 框 中 选择 test， 然 后 在 “所 有 者 ”下 的 
“文件 夹 访问 ”下 拉 列 表 框 中 选择 相应 的 权限 ， 如 “创建 和 删除 文件 ”， 在 “ 群 组 ”下 的 
“文件 夹 访问 ”下 拉 列 表 框 中 选择 “访问 文件 ”， 这 样 testl 对 目录 /home/test 具有 创建 和 
删除 的 权限 ， 用 户 test2 和 test3 对 目录 具有 访问 的 权限 。 最 后 关闭 完成 设置 ， 如 图 9-16 所 示 。 


图 9-15 将 新 建 用 户 归 组 图 9-16 设置 权限 
配置 完成 后 ， 可 以 测试 用 户 testl 对 目录 建立 、 删 除 文件 的 权限 ， 其 他 两 个 用 户 对 文件 
只 有 浏览 的 权限 。 
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4. 限制 用 户 访问 目录 

默认 情况 下 ， 用 户 登录 到 FTP 服务 器 后 ， 可 
以 访问 服务 器 中 自己 目录 以 外 的 文件 。 为 了 增强 
FTP 服务 器 的 安全 性 ， 有 必要 对 用 户 访问 目录 进 
行 限制 。 例 如 ， 用 户 登 录 到 FTP 服务 器 后 不 能 更 
改 目 录 ， 修 改 配置 文件 vsftpd.conf 添加 如 下 参数 
配置 ， 即 chroot local user=yes。 测 试 结 果 如 
图 9-17 所 示 。 


9.3.3 FTP 虚拟 用 户 的 配置 


VSFTP 支持 匿名 用 户 、 本 地 用 户 和 虚拟 用 户 
3 类 用 户 账 号 。 使 用 虚拟 账号 可 以 提供 集中 管 
理 ， 同 时 用 于 登录 FTP 服务 器 的 用 户 名 密码 与 系 
统 账号 是 分 开 的 ， 即 使 丢失 账号 密码 对 服务 器 也 不 会 产生 安全 威胁 。 

1. 建立 虚拟 用 户 的 数据 库 

VSFTP 所 使 用 的 虚拟 账号 保持 在 一 个 数据 库 中 ， 这 个 数据 库 是 Berkeley DB 格式 的 数 
昌 库 文件 ， 手 动 建立 这 个 数据 库 文件 所 使 用 的 是 db_load 命令 工具 ， 从 安装 光盘 中 可 以 获 
得 这 个 工具 。 

首先 建立 文本 格式 的 用 户 名 密码 ， 然 后 使 用 db_load 工具 转换 成 数据 库 文件 ， 注 意 文 
本 格式 的 用 户 密码 文件 奇数 行 是 用 户 名 ， 偶 数 行 是 密码 。 例 如 ， 建 立 两 个 用 户 ， 一 个 是 
tom 密码 123， 一 个 是 jerry 密码 234， 有 具体 如 下 。 


图 9-17 ”限制 用 户 访问 目录 


# Vi /etc/vsftpd/vuser.1ist 
tom 
123 
jerry 
234 


然后 使 用 db_local 工具 将 文本 文件 转换 成 DB 格式 的 数据 库 文件 。 


# cd /etc/vsftpd/ 
# db load -T -t hash -f vuser.list vuser.db 
# ls 
ftpusers user list vsftpd.conf vsftpd conf migrate.sh vuser.db 
Vuser.1ist 


在 db load 命令 中 ，“-f” 选 项 用 于 指定 用 户 / 密 码 列表 文件 ，“-T” 选 项 允许 非 
Berkeley 格式 的 应 用 程序 使 用 从 文本 格式 转换 的 DB 数据 库 ，“-t hash” 选 项 指定 读 取 数 
据 文件 的 基本 方法 。 
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2. 建立 系统 账号 


建立 FTP 访问 的 根 目录 虚拟 用 户 对 应 的 系统 账号 ， 该 账号 无 须 密码 和 登录 的 Shell。 
该 用 户 的 宿主 目录 作为 虚拟 用 户 登录 FTP 的 根 目录 。 
# useradd -d /var/ftproot/ -s /sbin/nologin virtual 
// 建 立 映射 的 系统 账号 
#chmod 755 /var/ftproot 
// 更 改 目 录 的 权限 
#1ls -lh /boot > /var/ftproot/vut 
// 建立 测试 文件 


3. 建立 PAM 认证 文件 


PAM 配置 文件 用 于 为 程序 提供 用 户 认证 控制 ，VSFTP 服务 使 用 的 默认 PAM 模块 文件 
是 /etc/pam.d/vsftpd， 可 以 参考 该 文件 的 格式 建立 一 个 新 的 PAM 文件 。 
# cat /etc/pam.d/vsftpd.vu 
auth required pam userdb.so db=/etc/vsftpd/vuser 
account required pam userdb.so db=/etc/vsftpd/vuser 
# 
配置 时 注意 将 db 选项 指定 为 先前 建立 的 虚拟 用 户 数据 库 文件 /ete/vsftpd/vuser( 扩 展 名 
可 以 不 要 )。 
4. 修改 vsftpd 主 配置 文件 vsftpd.conf， 添 加 对 虚拟 用 户 的 支持 
在 vsftpd.conf 文件 中 添加 Guest_enable、Guest_username 配置 项 ， 将 FTP 服务 的 所 有 
虚拟 用 户 对 应 到 同一 个 系统 账号 virtual， 并 修改 Pam_service_name 选项 ， 即 为 上 一 步 建立 


的 那个 PAM 文件 。 
# vi /etc/vsftpd/vsftpd.conf 
Anonymous_enable=NO // 关 闭 匿名 账号 
Local_enable=YES // 启 用 本 地 账号 


Rnon_umask=022 
Write_enableYES 


Guest_enable=YES // 启 用 用 户 映射 功能 
Guest username=virtual // 虚 拟 账号 映射 的 本 地 账号 
Pam service name=vsftpd.vu // 修 改 使 用 的 PAM 文 件 

5. 测试 虚拟 用 户 


启动 FTP 服务 ， 在 客户 端 测试 ， 使 用 账号 tom 和 jerry， 如 图 9-18 所 示 。 从 图 中 可 以 
看 到 使 用 虚拟 账号 可 以 登录 到 服务 器 ， 这 样 大 大 增加 了 服务 器 的 安全 性 。 


4 


SS 


图 9-18 虚拟 用 户 使 用 FTP 测试 
94 日 志 管 理 
FTP 服务 器 的 日 志文 件 xferlog 记录 了 有 关 用 户 连 接 和 FTP 服务 器 运行 的 信息 ， 该 文 


件 可 以 在 目录 /var/log 下 找到 。 这 个 文件 由 多 个 命令 组 成 ， 每 一 命令 行 是 一 项 ， 每 一 项 都 由 
空格 分 为 若干 个 字段 。 这 些 字段 包括 curren-timet、transfer-time、remote-host、file-size、 


filename 、 special-action 、 direction 、 access-mode 、direction 、username 、 service-name 、 
transfer-type、authentication-method 和 autenti cated-user-id。 字 段 transfer-name 用 来 指定 传 
输 花费 的 时 间 ， 以 秒 计算 ; 字段 remote-host 用 来 指定 建立 连接 的 远程 地 址 ， 字段 username 
指定 系统 中 用 户 的 名 称 ， 字段 transfer-type 中 ，a 代表 ASCII，b 代表 二 进 制 ， 字段 access- 
mode 用 来 指定 用 户 的 登录 方法 ，a 代表 匿名 (anonymous)，g 代表 客户 (guest), r 代表 系统 
中 其 他 的 账号 (real login); 字段 direction 中 ，O 代表 输出 ，I 代 表 输 入 。 

下 面 为 xferlog 中 的 一 段 内 容 ， 如 图 9-19 所 示 。 


图 9-19 FTP 日 志 


从 这 段 日 志文 件 中 ， 可 以 看 出 数据 项 首先 提供 的 是 时 间 、FTP 服务 器 、 文 件 的 大 小 及 
文件 名 ， 文 件 路 径 有 用 匿名 用 户 登录 ， 也 有 用 本 地 用 户 testl 登录 的 。 
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9.5 ”给 予 FTP 的 Yum 服务 器 


大 家 在 使 用 RPM 安装 软件 的 时 候 都 会 遇 到 有 关 软 件 包 依赖 的 问题 ， 即 安装 A 软件 包 
是 需要 B 软件 包 的 支持 。 要 安装 A 就 要 先 安装 B 这 还 是 好 解决 的 ， 最 令 人 头疼 的 是 多 个 
软件 包 的 依赖 。Yum 的 出 现 ， 很 方便 地 解决 了 此 问题 。 


9.5.1 Yum 概述 


如 图 9-20 所 示 ， 安 装 MySQL 软件 需要 很 多 软件 包 支 持 ， 而 且 安装 其 中 某 个 软件 包 还 
需 有 与 其 他 软件 包 的 依赖 。 那 么 有 没有 更 好 的 办 法 让 系统 自动 解决 安装 软件 包 时 候 的 依赖 
问题 呢 ? 答案 是 肯定 的 ， 下 面 为 大 家 介绍 另 一 个 工具 Yum。 


图 9-20 安装 软件 的 依赖 错误 


Yum(Yellow dog Updater Modified) 是 Yup 的 改进 版 ，Yup 最 早 是 由 TSS 公司 使 用 
Python 语言 开发 的 ， 后 由 杜 克 大 学 的 Linux 开发 团队 改进 并 且 命 名 为 Yum。 它 主要 用 于 软 
件 的 安装 、 印 载 、 升 级 ， 和 RPM 工具 一 样 ， 但 是 Yum 可 以 自动 解决 软件 包 安 装 过 程 中 的 
依赖 问题 。 如 果 想 使 用 Yum 工具 管理 软件 ， 还 需要 一 个 包含 RPM 软件 包 的 软件 仓库 
repository， 便 能 提供 这 个 仓库 的 系统 成 为 源 服务 器 ， 软 件 仓库 可 以 某 于 FTP， 也 可 基于 
HTTP。 这 里 给 大 家 介绍 基于 FTP 的 软件 仓库 ， 用 户 访问 的 FTP 源 服务 器 主 目录 中 所 有 的 
RPM 包头 信息 组 成 repodata( 仓 库 数据 )， 为 Yum 客户 端 提供 查询 分 析 。 


9.5.2 ”构建 FTP 的 Yum 服务 器 


(1) 安装 配置 FTP 服务 器 ， 将 光盘 挂 载 ， 进 入 光盘 目录 ， 如 图 9-21 所 示 。 


NOKEY, key ID 31 


入村 和 和 半 和 和 和 和 有 和 有 呈 和 日] 


DTT] 


9-21 安装 FTP 


(2) 将 光盘 的 所 有 内 容 复 制 到 FTP 的 主 目录 /var/ftp/pub 下 ， 如 图 9-22 所 示 。 


去 
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mnt /x 
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root@localhost 


图 9-22 复制 光盘 内 容 
图 9-21 和 图 9-22 中 ，“*” 是 一 个 通配符 ， 代 表 该 目录 下 的 所 有 文件 ，“&” 代 表 让 命 


令 后 台 运行 ， 因 为 光盘 的 内 容 太 多 ， 如 果 不 后 台 运行 会 一 直 占用 界面 而 无 法 进行 其 他 操作 。 


(3) 安装 CEATEREPO 软件 ， 该 软件 主要 用 于 手机 目录 中 RPM 包 文 件 的 头 信息 ， 用 


于 创建 repodata 软件 仓库 数据 。 


据 ， 


(4) 创建 repository 仓库 信息 文件 ， 使 用 createrepo 命令 在 当前 目录 下 生成 repodata 数 
使 用 -g 选项 可 以 指定 用 于 常见 组 信息 的 XML 文件 模板 。 注 意 在 pub 目录 中 有 4 个 目 
即 Cluster、ClusterStorage、Server 和 VT， 这 4 个 目录 包含 了 光盘 中 所 有 的 RPM 数据 
在 这 4 个 目录 中 建立 repository 的 方法 如 下 。 


# createrepo -g repodata/comps-rhe15-cluster.xml ./ 
32/32 - Cluster Administration-en-US-5.2-1.noarch.rpm 
Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 

# cd ../ClusterStorage/ 

# createrepo -g repodata/comps-rhel5-cluster-st.xml ./ 
39/39 - Global File System-ru-RU-5.2-1.noarch.rpm 
Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 

cd <XVT/ 

# createrepo -g repodata/comps-rhel5-vt.xml ./ 

35/35 - Virtualization-en-US-5.2-11.noarch.rpm 

Saving Primary metadata 

Saving file lists metadata 

Saving other metadata 

# cd ../Server/ 

# createrepo -g repodata/comps-rhel5-server-core.xml ./ 
2255/2255 - SysVinit-2.86-15.e15.i386.rpm 

Saving Primary metadata 

Saving file lists metadata 


Saving other metadata 
# 


(5) 启动 FTP 服务 器 ， 代 码 如 下 。 


#service vsftpd restart 
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9.5.3 ”客户 端 设置 


(1) Yum 客户 端 工具 是 系统 自 带 的 ， 在 字符 模式 下 使 用 Yum 命令 ， 在 图 像 模式 下 还 有 
一 个 图 形 化 的 Yum 工具 。 

(2) 设置 Yum 数据 源 的 位 置 。 

使 用 Yum 源 服务 器 之 前 ， 必 须 为 客户 端 建立 指定 的 配置 文件 ， 设 置 好 原 服 务 器 的 位 
置 和 可 用 的 目录 等 选项 。 该 配置 文件 的 位 置 在 /etc/yum.repos.d 目录 中 ， 名 称 为 rhel- 
debuginfo.repo， 直 接 修 改 这 个 配置 文件 如 下 。 


[rhel-debuginfo] 
name=Red Hat Enterprise Linux $releasever - $basearch - Debug // 名 称 
// 下 面 是 仓库 数据 的 位 置 
baseurl=ftp://192.168.1.104/pub/Cluster 
ftp://192.168.1.104/pub/Clusterstorage 
ftp://192.168.1.104/pub/Server 
ftp://192.168.1.104/pub/VT 
enabled=1 // 启 用 该 目录 
gpgcheck=0 // 不 检查 gpg 
#gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release // 不 需要 密 钥 


(3) 在 客户 端 可 以 使 用 yum 命令 查看 软件 的 信息 ， 代 码 如 下 。 


yum list updates // 查 看 可 以 升级 的 软件 包 

yum list installed // 查 看 本 机 安装 了 哪些 软件 包 

yum list available // 查 看 Yum 源 中 所 有 的 软件 包 

yum list available samba* // 查 看 Yum 源 中 以 samba 开头 的 软件 包 


yum list info installed apache // 查 看 已 安装 了 apache 的 软件 包 信息 

在 客户 端 可 以 使 用 yum 命令 ， 采 用 update 参数 升级 软件 ， 采 用 remove 参数 卸载 软 
件 ， 采 用 install 安装 软件 。 在 执行 上 面 命令 后 ， 系 统 会 提示 用 户 按 Y 键 确认 ， 如 果 不 希望 
输入 YY 键 ， 可 以 加 一 个 参数 “-y”， 具 体 如 下 。 


yum -y update // 升 级 所 有 可 用 的 软件 包 
yum -Y update apache // 升 级 apache 软件 包 
Yum -y remove bind // 狠 载 bina 软件 包 
yum -y install mysql // 安 装 mysql 软件 包 


(4) 客户 端 实 验 。 下 面 用 Yum 来 解决 图 9-20 的 问题 ， 安 装 MySQL 如 图 9-23 所 示 。 
#yum -Y install mysql 


(5) 客户 端 使 用 图 形 模式 在 应 用 程序 中 的 添加 删除 程序 如 图 9-24 所 示 。 
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图 9-23 Yum 安装 MySQL 


图 9-24 软件 包 管理 


本 章 习 题 


一 、 填 空 题 
.FTP 协议 应 用 OSI 七 层 模型 中 的 层 。 
. 与 大 多 数 的 服务 器 一 样 ，FTP 协议 也 是 一 种 模式 的 架构 。 
3.FTP 的 数据 传输 模式 分 为 3 种 。 
.FTP 的 端口 号 是 
5. VSFTP 服务 器 的 只 配置 文件 是 
. 根据 FTP 服务 器 服务 的 对 象 不 同 ， 可 以 将 FTP 用 户 分 为 
3 类 。 
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二 、 问 答题 

1.FTP 服务 器 和 客户 机 通信 会 建立 两 个 连接 ， 分 别 是 什么 ? 它们 分 别 有 什 么 作用 ? 

2. 什么 是 FTP 的 主动 模式 ? 它 是 如 何 工作 的 ? 

3. 什么 是 FTP 的 被 动 模式 ? 它 是 如 何 工作 的 ? 

4. VSFTP 有 哪些 特点 ? 

5. FTP 服务 器 只 配置 文件 默认 情况 下 是 不 允许 匿名 用 户 上 传 文件 的 ， 那 么 如 何 修改 才 
能 让 匿名 用 户 上 传 文件 ? 

6. 如 何 设置 一 个 FTP 服务 器 并 发 连接 数 为 1 万 ， 并 且 每 个 用 户 同时 只 能 下 载 3 
个 文件 ? 

7. 如 果 在 局 域 网 中 运行 所 有 主机 访问 FTP 服务 器 ， 只 是 192.168.1.50 这 台 客户 机 不 能 
访问 ， 应 如 何 设置 ? 

三 、 上 机 实 训 

根据 公司 的 开发 部 门 和 市 场 部 门 的 业务 发 展 要 求 ， 需 要 搭建 一 台 FTP 文件 服务 器 ， 以 
提供 公测 版 软件 、 市 场 资料 的 下 载 与 上 传 、 文 件 管理 等 应 用 ， 同 时 要 对 用 户 访问 、 下 载 和 
上 传 流量 进行 控制 。 考 虑 到 服务 器 的 运行 效率 、 稳 定性 及 安全 性 ， 选 择 在 Linux 操作 系统 
中 构建 vsftpd 服务 器 实现 。 

需求 描述 

(1) 添加 3 个 FTP 虚拟 用 户 devadm、sales 和 saleadm。 

(2) 设置 用 户 访问 及 文件 权限 控制 : 开放 匿名 访问 ， 任 何 用 户 可 以 从 /var/ftp/soft/ 目 录 
下 载 资料 ; 用 户 devadm 可 以 对 /var/ftp/soft/ 目 录 进 行 管理 ; 用 户 sales 可 以 从 /var/market/ 目 
录 下 载 资料 ， 用 户 saleadm 可 以 对 /var/market/ 目 录 进 行 管理 。 所 有 上 传 的 文件 ， 均 去 除非 
属 主 位 的 写 (W) 权 限 ; 对 服务 器 中 没有 明确 授权 的 其 他 目录 ， 均 禁止 以 上 用 户 访问 。 

(3) 下 载 、 上 传 流量 及 带宽 控制 : 最 多 允许 150 个 并 发 用 户 连 接 ， 每 个 IP 并 发 连接 数 
不 超过 5 个 ; 匿名 用 户 及 sales 用 户 的 下 载 带宽 限制 为 100Kb/s; devadm、saleadm 用 户 的 
下 载 、 上 传 带 宽 限 制 为 500Kb/s。 

实现 思路 

(1) 注意 虚拟 FTP 用 户 数据 库 的 建立 过 程 。 

(2) 通过 配置 项 anon max_rate 限制 传输 速率 。 

(3) 通过 配置 项 anon root 设置 匿名 FTP 用 户 的 默认 主 目录 。 

(4) 通过 配置 项 local root 为 个 别 虚 拟 用 户 设置 主 目录 。 
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学 习 目的 与 要 求 : 
在 TCP/IP 网 络 上 ， 每 台 工作 站 在 访问 网 络 上 的 资源 之 前 ， 都 必须 进行 基本 的 网 络 配 


置 。 对 于 一 个 较 大 的 网 络 ， 网 络 的 管理 和 维护 任务 是 相当 繁重 的 。 因 此 ， 需 要 有 一 种 机 制 
来 让 TCP/IP 的 配置 和 管理 从 客户 端 转移 到 服务 器 端 ， 实 现 人 P 的 集中 式 管理 。 所 有 入 网 的 
必要 参数 (包括 人 P 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 器 地 址 等 ) 的 设置 都 可 以 交 给 
DHCP 服务 器 负责 ，DHCP 服务 器 对 人 地 址 进行 集中 管理 ， 克 服 了 静态 IP 地 址 的 缺点 ， 
还 可 以 在 某 种 程度 上 解决 卫 地 址 资源 不 足 的 问题 。 

本 章 介 绍 Linux 下 的 DHCP 服务 器 的 搭建 ， 通 过 对 本 章 的 学 习 ， 读 者 应 做 到 握 以 下 几 点 。 
熟悉 DHCP 服务 器 的 工作 原理 。 
@ 熟悉 DHCP 服务 器 的 安装 方法 。 
@ 熟悉 DHCP 服务 器 配置 文件 内 容 。 
@ 训练 配置 DHCP 服务 器 。 


10.1 DHCP 概述 


DHCP 是 Dynamic Host Configuration Protocol( 动 态 主 机 配置 协议 ) 的 简称 ， 是 一 个 简化 
主机 TP 地 址 分 配 管理 的 TCP/IP 协议 。 网 络 上 的 主机 作为 DHCP 的 客户 端 ， 可 以 从 网 络 中 
的 DHCP 服务 器 下 载 网 络 的 配置 信息 。 这 些 信息 包括 卫 地 址 、 子 网 掩 码 、 网 关 、DNS 服 
务 器 和 代理 服务 器 地 址 。 使 用 DHCP 服务 器 ， 不 再 需要 手工 设 定 网 络 的 配置 信息 ， 从 而 为 
集中 管理 不 同 的 系统 带 来 了 方便 ， 网 络 管理 员 可 以 通过 配置 DHCP 服务 器 来 实现 对 网 络 中 
不 同系 统 的 网 络 配置 。 

DHCP 的 原理 是 : 网 络 中 有 一 台 设 置 成 通过 DHCP 获取 网 络 配置 参数 的 客户 端 计算 
机 ， 这 台 客 户 端 计算 机 在 开机 时 发 送 一 个 广播 地 址 (32 位 全 为 1 的 人 P 地 址 ， 即 
255.255.255.255)， 本 地 网 络 中 的 DHCP 服务 器 收 到 广播 后 ， 会 根据 收 到 的 物理 地 址 在 服务 
器 上 查找 相应 的 配置 ， 并 从 划 定 的 他 地 址 区 中 发 送 某 个 人 P 地 址 、 附 加 选项 (如 租 期 和 到 期 
时 间 )、 子 网 掩 码 、 网 关 和 “DNS 等 信息 给 该 计算 机 ， 该 计算 机 收 到 响应 后 还 要 发 送 一 条 注 
册 信 息 ， 以 告诉 服务 器 该 P 地 址 已 被 租用 ， 防 止 IP 地 址 冲突 。 整 个 注册 过 程 实际 上 是 一 
套 相 当 复 杂 的 程序 ， 双 方 要 进行 多 次 信息 交换 ， 最 终 才 能 注册 成 功 ， 注 册 成 功 后 该 计算 机 
即 可 直接 使 用 卫 地 址 。 

DHCP 服务 器 支持 3 种 方式 的 IP 地 址 分 配 : 自动 方式 、 手 动 方式 和 动态 方式 。 自 动 方 
式 为 主机 分 配 永 久 的 他 地 址 ， 手动 方式 由 管理 员 专 门 指定 他 地 址 ; 动态 方式 是 在 主机 需要 
了 地 址 时 ， 从 下 地 址 区 中 分 配 一 个 他 地址 让 主机 租用 ， 用 完 后 可 以 自动 释放 该 了 地 址 。 


10.1.1 DHCP 的 工作 过 程 


一 台 DHCP 客户 端的 计算 机 第 一 次 启动 时 ， 需 要 经 过 一 系列 步骤 才能 获得 TCP/IP 的 
配置 信息 ， 并 得 到 IP 地 址 的 租 期 ， 主 要 过 程 如 下 。 


1. DHCP 客户 首次 获得 IP 租约 


DHCP 客户 首次 获得 他 租约 ， 需 要 经 过 4 个 阶段 与 DHCP 服务 器 建立 联系 ， 如 图 10-1 
所 示 。 

(1) 了 租用 请 求 : DHCP 客户 机 启动 计算 机 后 ， 通 过 UDP 端口 67 广播 一 个 DHCPDIS 
COVER 信息 包 ， 向 网 络 中 的 任意 一 个 DHCP 服务 器 请 求 提供 IP 地 址 。 

(2) 人 P 租 期 提供 : 网 络 上 所 有 的 DHCP 服务 器 均 会 收 到 此 信息 包 ， 每 台 DHCP 服务 器 
都 通过 UDP 端口 68 向 DHCP 客户 机 发 送 一 个 DHCPOFFER 广播 包 提供 一 个 了 P 地 址 。 

(3) IP 租用 选择 : 客户 机 从 不 只 一 台 DHCP 服务 器 上 收 到 信息 后 ， 会 选择 第 一 个 收 到 
的 DHCPOFFER 包 ， 并 向 网 络 中 广播 一 个 DHCPREQUEST 信息 包 ， 表 明 自 己 已 经 收 到 了 
一 个 DHCP 服务 器 提供 的 下 地址， 该 广播 包 中 包含 接受 的 他 地址 和 服务 器 的 他 地址 。 

(4) 卫 租用 确认 : 被 客户 机 选择 的 DHCP 服务 器 在 收 到 DHCPREQUEST 广播 后 ， 会 广 
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播 返 回 客户 机 一 个 DHCPACK 信息 包 ， 表 明 已 经 接受 客户 机 的 选择 ， 并 将 这 一 人 P 地 址 的 
合法 租用 及 其 他 的 配置 信息 都 放 入 该 广播 包 发 给 客户 机 。 


DHCP 服务 器 
§ 


图 10-1 DHCP 原理 图 


客户 机 在 收 到 DHCPACK 广播 包 后 ， 会 使 用 该 广播 包 中 的 信息 来 配置 自己 的 TCP/IP， 
这 样 租 用 过 程 完 成 ， 客 户 机 即 可 在 网 络 中 正常 通信 。 


2. DHCP 客户 进行 IP 租约 更 新 


取得 卫 租约 后 ，DHCP 客户 机 必须 定期 进行 更 新 租约 ， 否 则 当 租 约 到 期 ， 就 不 能 再 使 
用 该 人 P 地 址 了 。 按 照 RFC 的 默认 规定 ， 每 当 租 期 时 间 超 过 租约 的 50% 和 87.5% 时 ， 客 户 机 
就 必须 发 出 DHCPREQUEST 信息 包 ， 向 DHCP 服务 器 请 求 更 新 租约 。 在 更 新 租约 时 ， 
DHCP 客户 机 以 单 点 传送 方式 发 出 DHCPREQUEST 信息 包 ， 不 再 进行 广播 。 具体 过 程 如 下 。 

(1) 在 当前 租 期 已 过 去 50% 时 ，DHCP 客户 机 直接 向 为 其 提供 人 P 地 址 的 DHCP 服务 器 
发 送 DHCPREQUEST 信息 包 。 如 果 客 户 机 收 到 该 服务 器 回应 的 DHCPACK 信息 包 ， 客 户 
机 就 根据 包 中 所 提供 的 新 租 期 及 其 他 已 经 更 新 的 TCP/IP 参数 更 新 自己 的 配置 ，IP 地 址 租 
期 更 新 完成 。 如 果 没 有 收 到 该 服务 器 的 回应 ， 则 客户 机 继续 使 用 现 有 的 人 P 地 址 ， 因 为 当前 
租 期 还 有 50%。 

(2) 如 果 租 期 过 去 50% 时 未 能 更 新 成 功 ， 则 客户 机 将 在 当前 租 期 过 去 87.5% 时 再 次 向 
为 其 提供 卫 地 址 的 DHCP 服务 器 发 送信 息 ， 试 图 与 其 联系 ， 但 是 如 果 联系 不 成 功 ， 则 重 
新 开始 他 地 址 租用 过 程 。 

G) DHCP 客户 机 如 果 重 启动 时 ， 将 会 尝试 更 新 上 次 关机 时 拥有 的 卫 租用 ;如 果 更 新 
未 能 成 功 ， 客 户 机 则 认为 自己 仍然 位 于 与 其 获得 现 有 了 P 租用 相同 的 子 网 上 ， 继 续 使 用 现 有 
的 下 地 址 ， 如 果 未 能 与 默认 网 关联 系 成 功 ， 客 户 机 会 认为 自己 已 经 被 移 到 不 同 的 子 网 上 ， 
则 DHCP 客户 机 将 失去 TCP/IP 网 络 功能 。 此 后 DHCP 客户 机 将 每 隔 5 分 钟 尝试 一 次 重新 
开始 新 一 轮 的 卫 租用 过 程 。 
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3. 使 用 DHCP 服务 器 的 情况 


在 网 络 使 用 DHCP 服务 器 一 般 适 合 以 下 两 种 情况 。 

(D 卫 地 址 有 限 ， 而 其 租用 他 地 址 的 主机 在 同一 时 间 段 内 不 是 很 多 。 如 果 在 一 个 办 公 
局 域 网 中 有 50 台 计 算 机 ， 但 是 只 有 30 个 他 地 址 可 供 使 用 ， 而 且 在 该 局 域 网 内 ， 同 时 上 网 
的 用 户 一 般 不 超过 30 个 ， 这 时 就 可 以 配置 一 台 DHCP 服务 器 来 动态 为 局 域 网 分 配 卫 地 址 。 

(2) 大 型 网 络 ， 并 且 网 络 中 的 计算 机 用 户 不 固定 。 一 般 来 说 ， 现 在 的 中 小 型 网 络 采 用 
手动 方式 分 配 人 P 地址。 对 于 中 小 型 网 络 ， 手 动 分 配 不 容易 造成 IP 地 址 冲突 ， 然 而 对 于 大 
型 网 络 来 说 ， 手 动 分 配 就 非常 不 方便 了 ， 而 且 容 易 造 成 P 地 址 冲突 。 如 果 网 络 采用 DHCP 
服务 器 分 配 他 地 址 ， 只 要 在 服务 器 端 进行 设置 即 可 ， 这 样 既 减 少 了 网 络 管理 员 的 工作 量 ， 
又 不 会 造成 他 地 址 冲突 。 


10.1.2 ”DHCP 的 地 址 租约 方式 


DHCP 服务 器 在 工作 时 是 以 地 址 租约 的 方式 向 客户 端 提供 IP 地 址 分 配 服务 的 ， 一 般 有 
两 种 分 配方 式 。 

(1) 人 P 地 址 租 期 约定 是 指 当 一 台 DHCP 客户 机 租用 到 一 个 IP 地 址 后， 有 一 个 约定 的 租 
期 。 当 DHCP 客户 机 向 DHCP 服务 器 租用 IP 地 址 后 ， 客 户 机 可 以 使 用 该 卫 地 址 一 段 时 
间 。 当 使 用 时 间 达 到 租用 周期 的 一 半 时 ， 客 户 机 必须 向 DHCP 服务 器 提出 续 约请 求 ， 请 求 
成 功 后 ， 可 以 继续 使 用 该 卫 地 址 ， 如 果 客 户 机 没有 续 约 成 功 ， 服 务 器 就 会 把 该 卫 地 址 收 
回 ， 分 配给 其 他 客户 端 使 用 。 当 然 原 客 户 端 还 继续 需要 IP 地 址 时 ， 服 务 器 会 分 配 一 个 新 的 
人 P 地 址 给 它 使 用 ， 这 样 就 会 很 好 地 解决 IP 地 址 不 够 用 的 问题 ， 这 也 是 在 网 络 中 设置 
DHCP 服务 器 最 重要 的 原因 。 

(2) IP 地 址 被 永久 租用 ， 根 据 需 要 ， 一 些 客户 机 必须 永久 占用 一 个 他 地址。 例如， 网 
络 中 的 Web 服务 器 的 了 P 地 址 不 能 随便 被 更 改 。 所 以 当 客 户 机 向 DHCP 服务 器 租用 到 一 个 
人 P 地 址 后 ， 这 个 地 址 就 永久 地 分 配给 这 个 DHCP 客户 机 使 用 ， 这 样 客户 机 就 不 必 频 繁 地 向 
DHCP 服务 器 提出 续 约 请 求 。 


10.2 DHCP 服务 器 的 安装 


Red Hat 安装 程序 默认 没有 安装 DHCP 服务 ， 若 需 使 用 ， 必 须 先 在 系统 中 安装 DHCP 
服务 ， 安 装 方法 如 下 。 


10.2.1 安装 配置 DCHP 服务 器 


在 Red Hat 的 光盘 中 提供 了 DHCP 服务 器 的 安装 包 。 下 面 以 RPM 包 的 安装 方式 为 
例 ， 介 绍 DHCP 服务 器 的 安装 。 如 果 用 户 已 经 安装 了 DHCP， 则 可 以 跳 过 下 面 的 安装 过 程 。 
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// 查 看 是 否 安装 了 DHCP 

#rpm -qa lgrep dhcp 

// 将 光盘 放 入 光驱 安装 

#rpm -ivh dhcp-3.0.5-3.e15.i386.rpm 


如 图 10-2 所 示 为 DHCP 的 安装 过 程 。 
[rootolocalhost ServerJ rpn ivh dhcp-3.0.5-3.e13.1386.rpn 
warning: dhcp-3.0.5 15.1386.rpm: Header DSA signature: NOKEY, key ID 37011 
186 
Preparing... 阁员 
1:dhcp 珊 
[rootelocalhost Server]# 目 


图 10-2 DHCP 软件 包 安装 
10.2.2 DHCP 的 配置 文件 
DHCP 的 配置 文件 为 /etc/dhcpd.conf。 默 认 的 情况 下 没有 该 文件 ， 只 有 通过 系统 提供 的 


模板 进行 查看 ， 模 板 的 路 径 为 /nsr/share/doc/dhcp-3.0.5/dhcpd.confsample。 下 面 对 此 文件 进 
行 说 明 ， 如 图 10-3 所 示 。 


10-3 dhcpd.conf.sample 文件 内 容 
使 用 vi 打开 该 文件 ， 代 码 如 下 。 


ddns-update-style interim; // 动 态 DNS 更 新 方式 
ignore client-updates; 


subnet 192.168.1.0 netmask 255.255.255.255{ // 必 须 用 subnet 在 DHCP 服务 器 
// 内 设置 一 个 IP 作用 域 ， 用 户 可 以 用 subnet 语句 通知 DHCP 服务 器 ， 把 服务 器 可 以 分 配 的 
//IP 地 址 范围 限制 在 规定 的 子 网 内 ， 当 DHCP 客户 端 向 DHCP 服务 器 请 求 IP 地 址 时 ，DHCP 服 
// 务 器 就 可 以 从 该 作用 域内 选择 一 个 尚未 分 配 的 IP 地 址 。subnet 语句 包含 了 表示 子 网 掩 码 的 
//netmask。{} 内 所 有 的 内 容 多 是 与 该 作用 域 有 关 的 数据 
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# ---dqefault gateway 


option routers 102.1680.131 3 // 设 定 网 关 和 路 由 器 的 IP 地 址 
option subnet-mask 255.255.255.0; // 设 定子 网 掩 码 

option nis-domain "domain.org™" ; 

option domain-name "domain.org" ; // 设 置 DNS 域名 


option domain-name-servers 192.168.1.1 ; // 设 置 DNS 服务 器 的 IP 地 址 (可 多 个 ) 


option time-offset -1800 #Eastern Standard Time // 设 置 与 格林 威 治 
// 时 间 的 偏 移 时 间 
# option net-servers 192=169:1:1> 
# option netbios-name-servers 192.168.1.17 
# --- Selects point-to-point node (default is hybrid) . Don’t change this 
unless 
# --- You understand Netbios very well 
# option netbios-node-type 2; 
Range dynamic-bootp 192.168.1.128 192.168.1.254; // 通 过 range 
// 语 句 ， 可 以 指定 动态 分 配 的 IP 地 址 范围 。 在 range 语句 中 需要 指定 地 址 端的 首 地 址 和 末 地 址 
// (可 设置 多 个 范围 ) 
Default-lease-time 21600; // 指 定 客户 端 ITP 地 址 默认 租用 的 时 间 长 度 是 
// 多 少 (以 秒 为 单位 ) 
Max-lease-time 43200 // 设 置 最 长 租用 IP 地 址 时 间 (以 秒 为 单位 ) 
# we want the nameserver to appear at a fixed address 
Host ns { // 给 某 个 主机 绑 定 固定 IP 地 址 (可 设置 多 个 ) 


Next-server marvin.redhat .com; // 设 置 为 固定 ， 用 于 定义 服务 器 从 引导 文件 装 
// 入 主机 名 ， 一 般 不 用 ( 仅 用 于 无 盘 工 作 站 ) 
Hardware Ethernet 12:34:56:78:AB:CD // 指 定 DHCP 的 客户 的 MAC 地 址 
Fixed-address 207.175.42.254 // 对 指定 的 Mac 地 址 分 配 IP 地 址 


} 
10.2.3 配置 DHCP 服务 器 举例 


配置 DHCP 服务 器 时 ， 主 要 修改 dhcpd.conf 文件 ， 其 中 主要 设置 子 网 网 段 、 网 关 地 
址 、DNS 地 址 、 租 用 时 间 、 可 提供 分 配 的 IP 地 址 范围 和 绑 定 某 些 IP 地 址 等 。 下 面 将 举例 
说 明 。 
假设 局 域 网 中 有 50 台 计 算 机 ， 但 是 只 有 30 个 PP 地 址 ， 地 址 段 为 192.168.0.200 一 
192.168.0.229， 子 网 掩 码 是 255.255.255.0， 其 中 192.168.0.200 和 192.168.0.220 要 分 配给 固 
定 的 主机 。 配 置 方法 如 图 10-4 所 示 。 
配置 完成 后 使 用 命令 service dhcpd start 启动 DHCP 服务 器 即 可 。 
每 注意 : ”如 果 是 下 载 的 tar 包 编 译 安装 的 情况 ， 还 要 在 /Var/db/ 建 立 一 个 dhcpd.leases 的 
文件 ，Linux 的 版 本 不 同 ， 文 件 建立 的 位 置 也 不 同 。 文 件 记 录 了 客户 机 获得 
人 P 地 址 的 详细 信息 。 
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ethernet 00:1A:A0:9 
192.168.0.229; 


10-4 dhcpd.conf 部 分 内 容 


10.2.4 ”配置 DHCP 中 继 


当 企业 的 内 部 网 络 规模 较 大 时 ， 通 常 划分 为 多 个 不 同 的 物理 子 网 ， 在 不 同 的 子 网 段 之 
间 是 不 允许 广播 包 通 过 的 。 而 DHCP 服务 恰恰 是 通过 UDP 广播 的 方式 进行 工作 的 ， 这 就 
出 现 一 个 问题 : 使 用 一 台 DHCP 服务 器 将 无 法 同时 为 多 个 物理 子 网 段 提 供 服 务 。 解 决 的 办 
法 有 两 种 : 其 一 ， 为 每 个 物理 网 段 安装 一 台 DHCP 服务 器 ， 但 这 种 方式 存在 资源 上 的 浪 
费 ， 而 且 不 利于 集中 管理 ， 其 二 ， 在 连接 不 同 物理 网 段 的 路 由 器 中 开启 DHCP 中 继 功 能 ， 
允许 有 针对 性 地 转发 DHCP 广播 包 。 

下 面 以 使 用 RHEL 5 服务 器 作为 网 段 间 的 路 由 器 为 例 ， 介 绍 DHCP 中 继 服务 器 的 配 
置 ， 网 络 拓扑 图 如 图 10-5 所 示 。 图 中 DHCP 服务 器 除了 为 本 地 网 络 192.168.1.0 分 配 四 地 
址 外 ， 还 通过 中 继 服 务 器 为 192.168.2.1 和 192.168.3.1 配置 卫 地 址 。 


192.168.2.0/24 
192.168.1.0/24 


一 As 
CS 
-一 ~ 六 
服务 
Linux 网 关 主 机 
eth0:192. 168. 1. 1/24 DHCP 服 务 器 
eth1:192. 168. 2. 1/24 
eth2:192. 168. 3. 1/24 0 1 3 


10-5 网络 拓扑 图 
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DHCP 服务 器 的 主 配置 文件 配置 内 容 如 下 。 


ddns-update-style interim7 // 动 态 DNS 更 新 方式 
ignore client-updates; 


subnet 192.168.1.0 netmask 255.255.255.255{ 


option routers 92>5168511 3 
option subnet-mask 55255 55 0 
option nis-domain "domain.org" ; 
option domain-name "domain.org" ; 


option domain-name-servers T92660U31 光 
range dynamic-bootp 192.168.1.128 192.168.1.254; 
Default-lease-time 21600; 
Max-lease-time 43200 


subnet 192.168.2.0 netmask 255.255.255.255{ 


option routers 192.168.2-1 7 
option subnet-mask 255.255.255.0; 
option nis-domain “test org 2 
option domain-name ~testuorg” » 
option domain-name-servers 192.168.2.1 ; 


range dynamic-bootp 192.168.2.128 192.168.2.254; 
Default-lease-time 21600; 
Max-lease-time 43200 


} 
subnet 192.168.3.0 netmask 255.255.255.255{ 


option routers 92=16853-.1 2 
option subnet-mask 255。255。255.07 
option nis-domain "domain .org"7 
option domain-name "domain.org"; 
option domain-name-servers 92246853 


range dynamic-bootp 192.168.3.128 192.168.3.254; 
Default-lease-time 21600; 
Max-lease-time 43200 


把 要 分 配 的 3 个 网 段 分 别 写 到 dhcpd.conf 文件 中 ， 启 动 DHCP 服务 器 。 在 中 继 服 务 器 
上 配置 步骤 如 下 。 

在 RHEL 5 系统 中 安装 好 DHCP 服务 器 软件 后 ， 就 包含 了 DHCP 中 继 相关 的 程序 和 脚 
本 。 配 置 DHCP 中 继 服 务 器 ， 只 需要 修改 配置 文件 /etc/sysconfig/dhcrealy， 并 启动 dhcrelay 
服务 即 可 。 当 然 作 为 路 由 器 使 用 ， 还 要 开启 路 由 转发 功能 。 

(1) 在 中 继 服务 器 上 开启 服务 器 的 路 由 转发 功能 。 编 辑 /etc/sysctl.conf 文件 ， 将 
net.ipv4.ip_forward 配置 选项 修改 值 改 为 1， 并 执行 sysctl -p 命令 生效 。 
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# vi /etc/sysctl.conf 

net.ipv4.ip forward = 1 

# sysctl -p 

(2) 设置 允许 DHCP 中 继 数据 的 接口 及 DHCP 服务 器 的 人 P 地 址 。 编 辑 /etc/sysconfig 
/dhcrelay， 分 别 设置 INTERFACES 和 DHCPSERVERS 配置 项 。 

# /etc/sysconfig/dhcrelay 


INTERFACES = "eth0 ethl eht2" 
DHCPSERVERS = "192.168.1.2" 


(3) 启动 dhcrelay 中 继 服务 器 。 


#service dhcrelay start 
# chkconfig -level 35 dhcrelay on // 设 置 开机 自动 启动 


还 要 注意 DHCP 服务 器 的 网 关 一 定 指向 DHCP 中 继 服务 器 。 
10.3 配置 DHCP 客户 端 


在 Linux 和 Windows 中 配置 DHCP 客户 端 很 简单 ， 下 面 介 绍 具体 的 实现 方法 。 
10.3.1 配置 Linux 下 的 DHCP 客户 端 


在 Red Hat 下 配置 DHCP 客户 有 两 种 方法 : 图形 配置 和 手动 配置 。 无 论 哪 种 配置 方 
法 ， 第 一 步 都 是 确定 内 核能 够 识别 网 卡 。 大 多 数 网 卡 会 在 安装 过 程 中 被 识别 ， 系 统 会 为 该 
网 卡 配置 适当 的 内 核 驱动 。 

图 形 方式 配置 DHCP 客户 端 只 需要 输入 命令 netconfig 调 出 图 形 界面 即 可 ， 有 些 
netconfig 工具 在 Linux 系统 中 不 是 默认 安装 程序 ， 如 果 没 有 安装 ， 只 需要 插入 Linux 光盘 
对 其 进行 安装 即 可 ，netconfig 工具 为 RPM 包 形 式 ( 注 : netconfig 工具 在 企业 版 5 中 不 是 默 
认 安装 文件 ， 需 要 手动 安装 ， 可 以 在 网 上 下 载 )。 图 形 配置 方法 如 图 10-6 和 图 10-7 所 示 。 


图 10-6 netconfig 界面 1 10-7 netconfig 界面 2 
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要 手动 配置 DHCP 客户 ， 需 要 修改 网 卡 的 配置 文件 “这 全 -eth?”， 该 文件 的 目录 为 
/etc/sysconfig/network-scripts。 这 里 的 eth ?是 网 络 设备 的 名 称 ， 如 ethl1、eth0、eth0:1 等 。 
具体 的 配置 步 又 如 下 。 

// 修 改 /etc/sysconfig/network-scripts/ifcfg-eth0 文件 

#vi /etc/sysconfig/network-scripts/ifcfg-eth0 

// 修 改 结果 如 下 

DEVICE=eth0 

BOOTPROTO=dhcp 

ONBOOT=yes 

// 对 每 个 想 配 置 DHCP 的 网 络 设备 做 类 似 配 置 


对 于 每 次 的 网 络 设备 配置 后 多 要 重新 启动 网 络 设备 。 


#service network reatart 
# 


10.3.2 配置 Windows 的 DHCP 客户 端 


为 了 配置 Windows 的 DHCP 客户 端 ， 需 要 执行 如 下 步骤 (以 Windows XP 为 例 )。 
(1) 打开 网 络 连接 窗口 ， 如 图 10-8 所 示 。 右 击 “ 本 地 连接 ”图 标 ， 选 择 “ 属 性 ” 命 
令 ， 弹 出 “本 地 连接 属性 ”对 话 框 ， 如 图 10-9 所 示 。 
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(2) 选择 “Intemet 协议 (TCP/IP)” 选 项 ， 单 击 “ 属 性 ”按钮 ， 弹 出 “Intermet 协议 
(TCP/IP) 属 性 ”对 话 框 ， 如 图 10-10 所 示 。 

(3) 选择 “自动 获取 下 地址 ” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 完成 客户 端的 设置 。 

(4) 查看 Windows 下 自动 获取 卫 地址 的 结果 ， 如 图 10-11 所 示 。 

(5) 在 服务 器 上 查看 dhcpd.leases 文件 ， 如 图 10-12 所 示 。 
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图 10-10 配置 DHCP 客户 端 3 图 10-11 通过 DHCP 自动 获得 的 网 络 参数 
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图 10-12 dhcpd.leases 文件 内 容 


图 中 记录 了 一 台 DHCP 客户 机 的 详细 信息 ， 如 客户 机 获得 的 卫 地 址 启用 时 间 、 客 户 
机 的 MAC 地 址 、 客 户 机 的 计算 机 名 称 等 。 


本 章 习 题 


一 、 填 空 题 

1.DHCP 是 的 简称 。 

2. DHCP 服务 器 可 以 给 客户 机 分 配 包括 

3. DHCP 服务 器 支持 有 3 种 方式 的 卫 地 址 分 配 。 
4. DHCP 服务 器 的 主 配置 文件 是 ，。 

5.Linux 下 的 DHCP 客户 端 使 用 命令 可 以 调查 图 形 模式 配置 网 络 。 


二 、 问 答题 


1. 叙述 DHCP 的 工作 过 程 。 

2. 叙述 当 客 户 机 的 瑟 地 址 租 期 到 达 50% 和 87.5% 时 会 怎样 。 

3. 在 什么 情况 下 使 用 DHCP 服务 器 ? 

4. 在 什么 情况 下 使 用 DHCP 中 继 ? 

5. 用 网 卡 eth0 配置 DHCP 获取 I 了 IP 地址， 其 内 容 是 怎么 配置 ? 

6. 有 一 个 公司 的 局 域 网 需要 配置 DHCP 服务 器 .IP 地 址 范围 是 192.168.1.100 ~ 
192.168.1.200，DNS 服务 器 地 址 是 202.106.0.20， 备 用 DNS 是 192.168.1.1， 网 关 人 P 地 址 是 
192.168.1.1。 其 中 地 址 范围 内 的 192.168.1.150 分 配给 Web 服务 器 ， 它 的 MAC 地 址 是 
11:22:33:44:55:AV。 写 出 DHCP 主 配置 文件 的 内 容 如 何 配置 。 

三 、 上 机 实 训 

公司 的 内 部 网 络 划 分 为 3 个 物理 网 段 ， 并 通过 一 台 Linux 网 关 服 务 器 相互 连接 。 为 了 
提供 集中 化 的 地 址 分 配 管理 ， 现 需要 构建 一 台 DHCP 服务 器 ， 在 不 增加 硬件 投资 的 情况 
下 ， 为 处 于 不 同 网 段 的 客户 机 动态 配置 了 地 址 等 网 络 参数 。 

需求 描述 

(1) 在 网 关 主机 中 构建 DHCP 和 DHCP 中 继 服务 器 。 

(2) 为 以 下 3 个 物理 网 段 提供 动态 地 址 分 配 服务 : 192.168.1.0/24、192.168.2.0/24、 
192.168.3.0/24。 

(3) 默认 租约 时 间 21600 秒 ， 最 大 租约 时 间 43200 秒 。 

(4) 客户 机 使 用 的 DNS 服务 器 地 址 : 202.106.0.20、202.106.148.1。 

(5) 用 于 动态 分 配 的 IP 地 址 范围 分 别 为 : 192.168.1.20 一 192.168.1.200; 192.168.2.20 一 
192.168.2.200; 192.168.3.20 一 192.168.3.200。 

(6) 网 关 主 机 各 接口 的 他 地 址 作为 对 应 网 段 的 默认 网 关 。 

实现 思路 

(1) 确认 服务 器 主机 的 网 络 地 址 配置 正确 。 

(2) 先 配 置 好 DHCP 服务 器 。 

(3) 再 配置 DHCP 中 继 服务 器 。 

(4) 验证 实验 结果 。 

注意 事项 

将 DHCP 服务 器 的 默认 网 关 指向 DHCP 中 继 服务 器 。 
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学 习 目的 与 要 求 : 

在 引入 DNS(Domain Name System) 之 前 ， 网 络 中 的 主机 是 将 容易 记忆 的 域名 映射 到 下 
地 址 并 将 它 保存 在 一 个 共享 的 文本 文件 hosts 中 ， 再 由 hosts 文件 来 实现 网 络 中 域名 的 管 
理 。 最 初 ，Intemet 非常 小 ， 这 种 方式 足以 满足 要 求 ， 每 个 Intemet 站 点 将 定期 地 更 新 其 主 
机 文件 hosts 的 副本 ， 并 且 发 布 主机 文件 的 更 新 版 本 来 反映 网 络 的 变化 。 但 是 ， 当 Internet 
上 的 计算 机 海量 增加 时 ， 文 件 也 会 随 着 时 间 的 推移 越 来 越 大 ， 这 种 按 当 前 和 更 新 的 形式 维 
持 文件 及 将 文件 分 配 至 所 有 站 点 将 变 得 非常 困难 ， 甚 至 无 法 完成 。DNS 很 好 地 解决 了 这 个 
问题 。 
本 章 介绍 DNS 的 工作 原理 及 如 何 搭建 DNS 服务 器 。 通 过 对 本 章 的 学 习 ， 读 者 应 该 做 
到 以 下 几 点 。 

@ 。 热 悉 DNS 服务 器 的 工作 原理 。 

@ 熟悉 DNS 的 查询 方式 。 

@ 熟悉 域名 的 组 成 。 

@ 熟练 安装 DNS 服务 器 。 

@ ”熟练 配置 DNS 服务 器 。 


11.1 DNS 概述 


域名 系统 DNS 在 TCP/IP 结构 的 网 络 中 是 一 个 很 重要 的 Pterne 服务 ， 它 是 一 种 域 层次 
结构 的 计算 机 和 网 络 服务 命名 系统 。 通 过 DNS 服务 可 以 将 易于 记忆 的 域名 和 不 易 记 忆 的 
IP 地 址 进行 转换 ， 从 而 使 得 人 们 能 通过 使 用 简单 、 好 记 的 域名 代替 人 地 址 来 访问 网 络 。 
承担 DNS 解析 任务 的 网 络 主机 就 被 称 为 DNS 服务 器 (DNS ServeD 。 建 立 一 台 企业 网 络 的 
DNS 服务 器 需要 具备 以 下 条 件 : 一 个 固定 的 瑟 地 址 、 域 名 、 网 络 与 Internet 连接 。 


11.1.1 DNS 的 特征 及 组 成 


通常 人 们 认为 DNS 只 是 将 域名 转换 成 卫 地 址 ， 然 后 再 使 查找 的 卫 地 址 连接 目标 主 
机 ， 这 个 过 程 称 为 “ 正 向 解析 ”。 事 实 上 ， 将 他 地 址 转换 成 相应 域名 的 功能 也 时 常用 到 。 
例如 ， 当 客户 机 登录 到 一 台 Linux 服务 器 时 ， 服 务 器 就 会 找 出 客户 机 是 从 哪个 地 方 来 的 ， 
这 个 过 程 称 为 “ 反 向 解析 ”。 

1. DNS 的 特征 

DNS 具有 以 下 重要 特征 。 

(1) 适用 于 任何 网 络 规模 ，DNS 工作 不 依赖 于 大 规模 的 卫 地 址 映射 表 。 

(2) 采用 分 布 式 系统 结构 ， 易 于 管理 网 络 ， 运 行 可 靠 性 高 。 

(3) 在 DNS 系统 中 新 入 网 的 他 信息 可 以 在 需要 时 自动 广播 至 网 络 的 任意 一 处 。 

2. DNS 的 组 成 

DNS 系统 依赖 于 一 种 层次 化 的 域名 空间 分 布 式 数据 库 。 具 体 地 讲 ， 它 由 3 个 部 分 组 成 。 

(1) 域名 和 资源 记录 (Domain Name and Resource Records): 用 来 指定 结构 化 的 域名 空间 
和 相应 的 数据 。 

(2) 域名 服务 器 (Domain Name System): 它 是 一 个 服务 器 端 程序 ， 包 括 域名 空间 树 结 构 
的 部 分 信息 。 

(3) 解析 器 (Resolves): 它 是 客户 端 向 域名 服务 器 提交 解析 请 求 的 程序 。 


11.1.2 DNS 的 层次 结构 与 域名 分 配 


DNS 在 运行 中 需要 进行 委派 ， 这 项 工作 由 Internet 协会 的 授权 委员 会 完成 。 该 协会 管 
理 Internet 的 地 址 和 域名 的 登记 ， 其 下 属 的 3 个 机 构 分 别管 理 全 球 不 同 地 区 的 域名 和 地 址 
分 配 。 欧 洲 信息 网 络 服务 中 心 (EINS) 负 责 管理 欧洲 的 域名 分 配 ，InterNIC 负责 管理 南 、 北 
美洲 和 非 亚 太 所 属 区 的 域名 ， 亚 太 地 区 的 亚太 互联 网 络 信息 中 心 APNIC 负责 管理 该 地 区 
的 域名 和 地 址 分 配 。 

中 国 属于 亚太 地 区 ， 所 以 这 里 重点 介绍 APNIC 分 配 地 址 的 两 种 方式 。 
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(1) 下 属 有 4 个 国家 及 地 区 网 络 中 心机 构 ， 即 日 本 、 韩 国 、 泰 国 和 中 国 台湾 地 区 。 
APNIC 向 其 授权 域名 分 配 的 权利 ， 它 们 所 属 的 机 构 可 向 各 自主 管 机 构 申请 域名 。 

(2) 没有 被 授权 的 国家 网 络 中 心机 构 ， 如 中 国 APINC 成 立 了 ISP 机 构 负责 该 项 工作 。 
由 APINC 把 部 分 地 址 分 给 ISP， 再 由 大 的 ISP 分 给 小 的 ISP 层 层 划分 域名 。 

出 于 分 散 还 有 并 行 处 理 的 需要 ， 与 Linux 文件 系统 相 类 似 。DNS 采用 树 形 层次 结构 ， 
虽然 DNS 被 用 于 域名 与 人 P 地 址 的 映射 ， 但 在 广域网 中 并 未 保存 整个 域 网 的 他 地 址 信息 。 

在 局 域 网 中 IP 地 址 信息 被 有 规律 地 分 散在 各 自 域 的 域名 服务 器 中 。 在 DNS 系统 内 存 
在 着 一 个 最 上 面 的 服务 器 ， 通 常 被 称 为 根 节点 服务 器 (Root Server) 的 IP 地 址 。 各 个 国家 和 
地 区 的 根 节点 服务 器 为 该 国 和 地 区 的 网 络 提供 IP 查询 服务 ， 而 具体 的 映射 是 由 其 下 属 的 各 
级 服务 器 来 实现 的 。 

各 根 节点 下 的 一 级 域名 服务 器 仅 负责 管理 其 二 级 域 的 瑟 地 址 信息 ， 二 级 域名 服务 器 则 
仅 为 其 所 属 范围 内 的 各 个 三 级 域 提 供 服务 ， 三 级 域 以 下 的 各 子 域 则 由 各 个 入 网 单位 自己 
管理 。 三 级 域 的 域名 一 般 由 各 个 国家 的 网 络 中 心 (Network Information Center) 统 一 分 配 和 
管理 。 

一 级 域名 : 又 称 根 域名 ， 世 界 各 国 或 地 区 的 根 域名 均 依 照 国际 标准 化 组 织 的 规定 ， 采 
用 双 字 符 方式 来 表示 。 例 如 ， 中 国 ChinaNet 的 根 域 (Top Domain) 名 为 cn。 

二 级 域名 : 各 国有 各 自 的 规定 。 例 如 ，ChinaNet 的 二 级 域名 定义 如 下 : edu 指教 育 
科研 机 构 ，com 指 企 事 业 单位 ，gov 指 政 府 机 关 ; net 指 网 络 管理 机 关 ; org 指 网 络 服务 
性 机 关 。 

在 ChinaNet 上 还 采用 下 述 域名 表示 法 : Beijing 指 北京 地 区 ; Shanghai 指 上 海地 区 ; 
Guangzhou 指 广州 地 区 等 。 

在 中 国 ，ChinaNet 由 CNIN(China Network Information Center) 统 一 负责 IP 地 址 分 配 及 
二 级 域名 的 命名 。 三 级 域名 常常 以 各 个 单位 的 英文 缩写 来 命名 ， 如 新 浪 (sina)、 搜 狐 (sohu) 
等 ， 因 此 这 些 单位 的 三 级 域名 表示 为 sina.com.cn、sohu.com.cn。 四 级 及 其 以 下 的 域名 ， 由 
各 三 级 域名 所 属 单位 各 自命 名 ， 一 般 为 各 个 下 属 机 关 、 部 门 的 英文 缩写 ， 但 是 必须 是 唯一 
的 ， 如 lib.sina.com.cn、bbs.sohu.com.cn。 为 了 书写 方便 ， 各 个 域名 的 字符 数 也 不 宜 太 长 。 


11.1.3 ”DNS 查询 的 工作 过 程 和 模式 


1. DNS 查询 的 工作 过 程 


DNS 是 典型 的 C/S 模式 结构 。 其 查询 过 程 如 下 : 请 求 程序 通过 客户 端的 解析 器 向 服务 
器 发 送 查 询 请求 ， 等 待 服务 器 数据 库 (Server Database) 给 出 应 答 并 解释 服务 器 给 出 的 答案 ， 
然后 把 所 得 信息 给 请 求 程序 。 

例如 ， 假 设 查 询 某 计算 机 的 FQDN(Full Qualified Domain Name， 完 全 合格 域名 ) 为 
http://ftp.master.net.cn， 那 么 DNS 的 查询 过 程 如 下 。 

(1) 客户 端 发 送 请 求 给 这 台 计 算 机 ， 所 设置 的 DNS Server 询问 http://ftp.master.net.cn 
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的 全 地 址 是 多 少 。 

C) 指定 的 DNS Server 先 查看 该 域名 是 不 是 在 它 的 缓存 文档 中 。 如 果 有 ， 则 回答 答 
案 ， 如 果 没 有 ， 就 从 最 上 一 级 查 起 ， 在 DNS Server 配置 文件 中 有 “.” 的 设置 ， 表 示 往 上 
一 层 的 任何 一 台 DNS 服务 器 查询 。 在 本 例 客户 端 发 送 请 求 会 问 .cn 要 向 谁 查询 。 

(3) “.” 层 的 DNS Server 会 回答 : .cn 要 向 .cn 所 在 的 DNS Serverl 查询 。 

(4) 向 DNS Serverl 询问 : .net.cn 要 向 谁 查询 。DNS Server 回答 : .net.cn 要 向 .net.cn 所 
在 的 DNS Server2 查询 。 

(5) 向 DNS Server2 询问 : .master.net.cn 要 向 谁 查询 ， 回 答 是 要 向 master.net.cn 所 在 的 
DNS Server3 查询 。 

(6) 在 DNSServer3 确定 ftp.masternet.cn 要 向 www.master.net.cn 查询 : www.master.net.cn 
域 下 的 fp.mastemet.cn 的 他 地 址 是 什么 。 

(7) www.master.net.cn 会 回答 ftp.master.net.cn 的 IP 地 址 是 多 少 。 


2. DNS 的 查询 模式 


1) 递归 查询 

当 收 到 DNS 客户 的 查询 请 求 后 ， 本 地 DNS 服务 器 只 会 向 DNS 客户 返回 两 个 信息 ， 
要 么 是 在 该 DNS 服务 器 上 查 到 的 结果 ， 要 么 查询 失败 。 当 在 本 地 DNS 服务 器 中 找 不 到 
时 ， 该 DNS 服务 器 不 会 主动 地 告诉 DNS 客户 另外 的 DNS 服务 器 的 地 址 ， 而 是 由 该 DNS 
服务 器 自行 完成 名 称 和 人 P 地 址 的 转换 ， 即 利用 服务 器 上 的 软件 来 请 求 下 一 个 服务 器 ， 如 果 
其 他 DNS 服务 器 查询 失败 ， 就 会 告知 客户 查询 失败 。 当 本 地 DNS 服务 器 利用 服务 器 上 的 
软件 请 求 下 一 个 服务 器 时 ， 使 用 的 就 是 “递归 查询 ”(Recursive Query) 算 法 进行 查询 ， 因 此 
而 得 名 。 一 般 DNS 客户 段 向 DNS 服务 器 提出 的 查询 请 求 属于 递归 查询 。 

2) 县 代 查 询 

当 收 到 客户 端的 查询 请 求 后 ， 如 果 DNS 服务 器 中 没有 查 到 所 要 的 数据 ， 该 DNS 服务 

器 便 会 告诉 DNS 客户 端 另 外 一 台 DNS 服务 器 的 IP 地 址 ， 然 后 再 由 另外 一 台 DNS 服务 器 

查询 ， 以 此 类 推 ， 一 直到 查 到 所 需要 的 数据 为 止 。 如 果 到 最 后 一 台 DNS 服务 器 都 没有 所 
需要 的 数据 ， 则 通知 DNS 客户 端 查询 失败 。“ 迭 代 ” 的 意思 就 是 ， 如 果 在 某 地 查 不 到 ， 
该 地 址 就 会 告诉 用 户 其 他 地 方 的 地 址 ， 转 到 其 他 地 方 去 查 。 一 般 在 DNS 服务 器 之 间 的 查 
询 请 求 属于 和 登 代 查询 (Iterative Query)(DNS 服务 器 也 可 以 充当 DNS 客户 机 的 角色 )。 


11.1.4 DNS 的 类 别 


目前 Linux 系统 上 使 用 的 DNS 服务 器 软件 是 伯克利 (Berkeley)。Internet 域名 系统 
(Berkeley Intemet Name Domain) 即 BIND。 从 概念 上 讲 ，BIND 系统 由 服务 器 和 解析 器 两 部 
分 组 成 。 

服务 器 : 对 查询 请 求 加 以 应 答 ， 一 般 为 一 个 独立 的 进程 常 驻 系统 。 

解析 器 : 向 服务 器 进程 提供 查询 请 求 ， 解 析 器 一 般 并 非 一 个 常 驻 程序 ， 而 是 作为 库 程序 ， 存 


第 11 章 “DNS 服务 器 配置 i 只 


放 在 系统 中 以 供 查 询 事件 动态 调用 ， 该 程序 提供 与 域名 服务 器 的 连接 和 信息 交换 的 方法 。 

DNS 服务 器 有 不 同 的 类 型 ， 每 种 服务 器 在 域名 服务 系统 中 所 起 的 作用 也 是 不 一 样 。 基 
本 的 DNS 服务 器 是 主 服务 器 (Master Server)。 每 一 个 网 络 至 少 有 一 个 主 服务 器 ， 以 解析 网 
络 上 的 域名 ， 比 较 大 的 网 络 会 有 多 个 DNS 服务 器 ， 其 中 有 些 可 以 直接 从 主 服务 器 上 进行 
更 新 ， 是 网 络 中 主机 可 以 使 用 的 替换 DNS 服务 器 ， 这 些 服务 器 常 被 称 为 从 服务 器 
(Secondary Server)。DNS 服务 器 不 能 解析 的 DNS 请 求 会 被 发 送 到 网 络 之 外 的 服务 器 ， 即 
Internet 的 特定 服务 器 上 ， 用 户 可 以 设置 网 络 中 的 DNS 服务 器 完成 此 项 功能 ， 这 样 的 服务 
器 称 为 转发 服务 器 (Forward Server)。 为 减轻 工作 负担 ， 本 地 DNS 服务 器 可 以 设置 为 缓存 服 
务 器 (Caching ServeD)， 此 服务 器 仅仅 收集 发 送 到 主机 DNS 服务 器 的 以 前 的 查找 结果 ， 任 何 
重复 的 请 求 可 以 有 缓存 服务 器 应 答 。 

可 以 应 答 特定 区 域 DNS 查询 的 服务 器 被 称 为 授权 服务 器 。 授 权 服务 器 保存 了 区 域 中 
主机 的 DNS 配置 文件 记录 ， 该 记录 将 主机 的 DNS 名 称 与 IP 地 址 关联 起 来 。 例 如 ， 主 服务 
器 本 身 就 是 一 个 授权 服务 器 ， 从 服务 器 也 可 以 作为 授权 服务 器 ;缓存 服务 器 不 具备 授权 特 
性 它 只 能 保存 从 其 他 服务 器 获取 的 相应 关系 ， 并 且 不 能 保证 这 种 关系 的 有 效 性 。 

以 下 是 这 几 种 服务 器 的 具体 特征 描述 。 

1. 主 服务 器 

它 给 定 域 的 所 有 信息 的 授权 来 源 ， 其 所 装载 的 域 信 息 来 源 于 域 管理 员 所 创建 的 磁盘 文 
件 ， 通 过 本 地 维护 ， 更 新 有 关 服 务 器 授权 管理 的 域 的 最 精确 信息 。 它 具有 最 权威 的 回答 ， 
能 完成 任何 关于 授权 管理 的 域 的 查询 。 

2. 从 服务 器 

用 户 可 以 从 从 服务 器 上 获得 域 信息 的 完整 集合 ， 域 文件 从 主 服务 器 上 传 过 来 ， 并 以 本 
地 的 文件 形式 存储 在 从 服务 器 的 硬盘 上 。 从 服务 器 保留 了 一 份 所 有 域 信息 的 完整 副本 ， 也 
能 以 授权 的 方式 回答 相关 域 的 查询 。DNS 从 服务 器 有 时 也 被 称 为 备份 域名 服务 器 ， 具 有 主 
服务 器 的 部 分 功能 。 

3. 转发 服务 器 

转发 服务 器 把 将 要 解析 的 DNS 请 求 发 送 到 该 网 络 以 外 的 服务 器 ， 它 可 以 保持 局 域 网 
上 的 其 他 服务 器 对 Internet 的 隐藏 。 


11.2 ”BIND 的 安装 和 启动 


BIND 是 为 BSD 操作 系统 开发 的 一 套 网 络 域名 服务 系统 ， 是 一 款 实现 DNS 服务 器 的 
开放 源码 软件 ， 能 够 运行 在 当前 大 多 数 的 操作 系统 上 。 它 原来 是 美国 DARPA 资助 伯克利 
大 学 开设 的 一 个 研究 课题 ， 后 来 经 过 多 年 的 发 展 变化 ， 已 经 成 为 世界 上 使 用 最 广泛 的 DNS 
服务 器 软件 ，Internet 上 绝 大 多 数 的 DNS 服务 器 都 是 用 BIND 来 架设 的 。 目 前 BIND 软件 
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由 因特网 软件 联合 会 ISC(Internet Software Consortium) 这 个 非 营利 性 机 构 负 责 开 发 和 维护 。 
BIND 软件 版 本 在 不 断 进 行 更 新 ， 以 适应 新 的 安全 性 和 管理 需要 。 


11.2.1 安装 BIND 域名 服务 器 


Red Hat Linux 提供 了 域名 服务 器 的 RPM 包 ， 有 如 下 几 个 。 

BIND-utils: 包括 DNS 查询 工具 。 

BIND: 服务 器 端 软件 。 

Redhat-config-BIND: 域名 服务 器 的 GUI 配置 工具 。 

Caching-nameserver: 包含 高 速 缓存 服务 器 的 配置 文件 。 

下 面 以 RPM 包 的 安装 方法 为 例 介 绍 BIND 的 安装 过 程 。 如 果 用 户 已 经 安装 可 跳 过 下 
面 过 程 。 

// 查 看 是 否 安装 了 BIND 

#rpm -qalgrep bind 

// 插 入 光盘 ， 进 入 安装 目录 安装 

#rpn —ivh utils—9.3。.3-7-e15.1386.7PmR 

#rpm -ivh BIND-9.3.3-7.e15.i386.rpm 


#rpm-ivh caching-nameserver-9.3.3-7.e15.i386.rpm 


// 安 装 所 有 需要 的 包 
安装 后 ， 查 看 安装 结果 如 图 11-1 所 示 。 
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11-1 BIND 软件 包 的 安装 信息 
11.2.2 ”启动 域名 服务 器 


安装 完成 后 就 可 以 启动 ，Red Hat Linux 默认 BIND 以 独立 方式 启动 ， 所 以 需要 输入 如 
下 命令 。 

// 立 即 启 动 

#service named start 


// 查 看 BIND 是 否 启动 


#pstree lgrep named 


如 图 11-2 所 示 ， 表 明 BIND 已 经 启动 。 
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图 11-2 named 服务 状态 


如 果 希 望 BIND 在 下 次 启动 计算 机 时 ， 启 动 使 用 命令 ntsysv， 选 中 named 即 可 ， 另 外 
BIND 启动 后 还 可 以 使 用 mdc 命令 查看 域名 服务 器 的 运行 状态 ， 如 图 11-3 所 示 。 


图 11-3 域名 服务 器 的 运行 状态 
11.3 ”域名 服务 器 的 配置 语法 


在 进行 域名 服务 器 配置 时 ， 需 要 修改 BIND 的 主 配置 文件 /etc/named.conf， 默 认 情 况 下 
该 文件 是 不 存在 的 ， 用 户 可 以 按照 格式 自行 创建 。 此 外 ， 在 安装 DNS 服务 时 都 会 安装 一 
个 范本 文件 ， 该 文件 的 路 径 是 /usr/share/doc/BIND-9.3.3/sample/etc/named.conf， 在 具体 的 
DNS 服务 器 配置 中 ， 可 以 将 该 文件 复制 为 /etc/named.conf， 然 后 根据 需要 进行 编辑 ， 这 样 
配置 工作 比较 容易 完成 。 


11.3.1 文件 簇 


Linux 上 的 域名 服务 器 是 由 named 守护 进程 来 执行 的 ， 该 进程 从 主 配置 文件 
/etc/named.conf 中 获取 有 关 的 信息 ， 并 将 主机 名 映射 为 人 P 地 址 的 各 种 相关 其 他 文件 。 
配置 named 时 需要 使 用 一 组 文件 ， 表 11-1 列 出 了 named 的 配置 文件 艇 。 


表 11-1 named 的 配置 文件 徐 


设置 一 般 的 named 参数 ， 指 向 该 服务 器 使 


主 配 置 文件 /etc/named.conf 用 的 域 数据 库 的 信息 
根 域名 服务 器 指向 | var/named/chroot/var/named/name | 存放 根 域 服务 器 的 卫 地 址 ， 用 于 高 速 组 
文件 dca 存 服 务 器 的 初始 配置 

| /var/named/chroot/var/named/name | 用 于 将 名 称 localhost 转换 为 本 地 回 送 人 P 
localhost d.zone 地 址 (127.0.0.1) 
区 文件 (默认 存在 ) /var/named/chroot/var/named/name | 用 于 将 本 地 人 P 地 址 (127.0.0.1) 转 换 为 名 称 


d.local localhost 


D> 
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11.3.2 主 配置 文件 


BIND 的 主 配 置 文件 是 /etcmamed.conf， 该 文件 只 包括 BIND 的 基本 配置 ， 并 不 包含 任 
何 DNS 区 域 数据 。 主 配置 文件 格式 有 一 定 规则 。 

(1) 配置 文件 中 语句 必须 以 分 号 结尾 。 

(2) 需要 用 花 括 号 将 容器 指令 (如 options) 中 的 配置 语句 包含 起 来 。 

(3) 注释 符号 可 以 使 用 C 语言 中 的 符号 对 “/*” 和 “*/”、C++ 语 言 的 “//” 和 Shell 脚 
本 的 “#”。 

1. named.conf 的 配置 语句 

表 11-2 列 出 了 一 些 named.conf 可 用 的 配置 语句 。 


表 11-2 主 配置 文件 named.conf 的 配置 语句 


配置 语句 说 明 
acl 定义 全 地 址 访问 控制 清单 
controls 定义 mde 命令 使 用 的 控制 通道 
include 将 其 他 文件 包含 到 本 配置 文件 中 
ke 定义 授权 的 安全 密 钥 
logging 定义 日 志 的 记录 范围 
options 定义 全 局 配置 选项 
SeIVeT 定义 远程 服务 器 的 特征 
trusted-keys, 为 服务 器 定义 DNSSEC 加 密 密 钥 
Zone 定义 一 个 区 


以 下 对 经 常 使 用 的 全 局 配置 语句 和 区 声明 语句 做 进一步 的 说 明 。 
2. 全 局 配置 语句 option 
named.conf 文件 的 全 局 配置 语句 的 格式 如 下 。 


Option( 
配置 子 句 ， 
配置 子 句 ， 

) 7 


表 11-3 列 出 了 一 些 常 用 的 全 局 配置 子 句 。 
表 11-3 全 局 配置 子 句 
说 明 
是 否 使 用 递归 式 DNS 服务 器 ， 默 认为 yes 
是 否 允许 在 一 条 消息 中 放 入 多 条 应 答 消息 


定义 服务 器 区 配置 文件 的 工作 目录 ， 默 认为 /var/named 
定义 转发 器 


子 句 


Tecursion 


transfer-format one-ansWerlmany-ansWer 


directory path” 
forwarders {IPaddr} 
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在 以 上 option 的 配置 中 ，directory 设 定 指出 了 named 的 数据 资源 文件 存放 在 /var/named 
目录 下 。 也 就 是 说 ，named 进程 会 在 这 个 目录 里 查找 相关 文件 ， 获 得 DNS 数据 ， 然 后 ， 在 
后 面 设置 数据 库 文件 时 ， 可 以 直接 放 在 这 个 目录 里 ， 不 需要 再 使 用 绝对 路 径 。 


3. 区 声明 
区 (zone) 声 明 是 配置 文件 中 最 重要 的 部 分 。zone 语句 的 格式 如 下 。 


Zone "zone-name" IN( 
Type 子 句 ; 
File 子 句 ; 
其 他 字句 ; 

); 


在 表 11-4 中 列 出 了 常用 的 区 声明 子 句 。 一 条 区 声明 需要 说 明 域 名 、 服 务 器 的 类 型 和 域 
信息 源 。 


表 11-4 主 配 置 文件 named.conf 常用 的 区 声明 子 句 
说 明 
说 明 一 个 取得 类 型 。 
master: 说 明 一 个 区 为 主 域名 服务 器 ; 
hint: 说 明 一 个 区 为 启动 时 初始 化 高 速 缓存 的 域名 服务 器 ; 
slava; 说 明 一 个 区 为 辅助 域名 服务 器 
说 明 一 个 区 的 域 信 息 源 数据 库 信息 文件 名 


以 上 区 文件 中 zone“.” 这 部 分 设置 定义 了 DNS 系统 中 的 根 区 域 “.”， 其 类 型 为 
hint。 本 地 DNS 无 法 解析 到 的 非 本 地 区 域 的 内 容 ， 都 会 根据 named.ca 设 定 到 root 区 域 负 
责 查询 。 

接 下 来 定义 了 4 个 区 的 数据 文件 ， 包 括 以 下 几 种 。 

(1) 根据 服务 器 地 址 信息 进行 解析 。 

(2) 本 地 主机 回路 地 址 的 反 向 解析 。 

(3) lintec.edu.cn 。 

(4) 本 地 区 域 主机 的 下 地 址 反 向 解析 类 型 均 为 master， 即 主 服务 器 类 型 。Allow- 
update 配置 项 禁止 动态 更 新 域名 信息 记录 。 

Controls 文件 最 后 的 “include wetc/mdc key"; ”是 BIND 9.x 版 本 的 新 功能 ， 其 定义 
Inde 命令 使 用 的 控制 通道 。 


11.3.3 区域 文件 


区 文件 定义 了 一 个 区 的 域名 信息 ， 通 常 也 称 域名 数据 文件 。 每 个 区 文件 都 是 有 若干 个 
资源 记录 (Resource Records，RR) 和 区 文件 指令 组 成 的 。 


type masterlhintlslave 


file "filename" 
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每 个 区 文件 都 由 SOA RR 开始 ， 同 时 包括 NS RR， 对 于 正 向 解析 文件 还 包括 ARR、 
MX、RR、CHIME、RR 等 ， 而 对 于 反 向 解析 文件 还 包括 PTR RR。 

资源 记录 具有 基本 的 格式 ， 标 准 资源 记录 的 基本 格式 如 下 : 

name tT IN type rdata 

各 个 字段 之 间 有 空格 或 制 表 符 分 隔 。 以 下 是 这 些 字段 的 含义 。 

name: 表示 资源 记录 引用 的 域 对 象 名 ， 可 以 是 一 台独 立 的 主机 ， 也 可 以 是 整个 域 ， 其 
取 值 及 说 明 见 表 11-5。 


表 11-5 name 字段 说 明 


取 值 说 明 
根 域 
@ 默认 域 ， 可 以 在 文件 中 使 用 SORIGIN domain 来 说 明 默 认 域 
标准 域名 或 是 以 “.” 结 束 的 域名 ， 或 是 一 个 相对 的 域名 
人 该 记录 适用 于 最 后 一 个 带 有 名 称 的 域 对 象 


ttl(time to live): 寿命 字段 ， 它 是 以 秒 为 单位 定义 该 资源 记录 中 的 信息 存放 在 高 速 缓存 
中 的 时 间 长 度 。 通 常 该 字段 值 为 空 ， 表 示 采 用 SOA 中 的 最 小 世 值 。 

IN: 将 该 记录 标识 为 一 个 Internet DNS 资源 记录 。 

type: 标识 这 是 哪 一 类 资源 记录 ， 其 类 型 及 功能 说 明 见 表 11-6。 


表 11-6 type 字段 说 明 


记录 类 型 功能 说 明 
A(Address) 用 于 主机 名 转换 为 IP 地址， 任何 一 个 主机 都 只 能 有 一 个 A 记录 
CNAME 定义 主机 的 别名 ， 主 机 的 规范 名 在 A 记录 中 给 出 


HINFO(Canonical NAME) 描述 主机 的 信息 
邮件 的 交换 记录 。 告 诉 邮件 进程 把 邮件 发 送 到 另 一 个 系统 。 此 系统 的 
系统 值 知道 如 何 将 邮件 传送 到 它 的 目的 地 
NS(Name Server) 标识 一 个 域 的 域名 服务 器 
PTR(domain name PoinTeR) 将 地 址 转换 为 主机 名 
SOA 记录 表示 一 个 授权 区 的 开始 。SOA 记录 后 的 所 有 信息 是 控制 这 
SOA(Start Of Authority) 个 域 的 。 每 个 配置 文件 都 必须 包含 一 个 SOA 记录 ， 以 标识 服务 器 所 
管理 的 起 始 位 置 。 配 置 文件 的 第 一 个 记录 必须 是 SOA 记录 
rdata: 指定 与 这 个 资源 记录 有 关 的 数据 ， 数 据 字 段 的 内 容 取决 于 类 型 字段 ， 相 关 说 明 
见 表 11-7。 


MX(Mail eXchanger) 


表 11-7 rdata 字段 说 明 


数 据 


四 地 址 


IP address 


Canonical-name 
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续 表 


记录 类 型 数 据 说 明 
Hardware 机 器 硬件 名 
HINFO 
Os-type 操作 系统 名 
Preference-value 优先 级 别 数 字 ( 数 字 越 小 级 别 越 高 ) 


Mailer-exchanger 邮件 服务 器 的 名 称 
域名 服务 器 的 名 称 
主机 的 真实 名 称 
存放 本 资料 的 主机 名 


管理 域 的 管理 员 的 邮件 地 址 ， 因 此 “@” 在 文件 


hostname 


Contact 中 有 特殊 的 含义 ， 所 以 邮件 地 址 123@weha.com 
写 为 123.weha.com 
本 地 信息 文件 的 版 本 号 (文件 修改 后 将 其 值 加 1) 
SOA 时 辅助 域名 服务 器 多 长 时 间 更 新 数据 库 
间 若 辅助 域名 更 新 数据 库 失败 ， 多 长 时 间 再 更 新 
革 若 域名 服务 器 无 法 从 主 服 务 器 上 更 新 数据 ， 原 有 
各 数据 何 时 失效 


若 资源 记录 栏 未 设 定 世 ， 则 以 这 里 提供 的 时 间 


注 : 在 资源 记录 中 所 有 的 全 域名 必须 以 “.” 结 束 。 


11.3.4 ”BIND 的 默认 配置 


1. 查看 BIND 的 默认 配置 

配置 写 完 之 后 执行 下 面 的 命令 ， 查 看 BIND 的 默认 配置 。 
#vi /etc/named.conf 

// 


// named.conf for Red Hat caching-nameserver 


区 


options { 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
/* 
* If there is a firewall between you and nameservers you want 
* to talk to, you might need to uncomment the query-source 
* directive below. Previous versions of BIND always asked 
* questions using port 53, but BIND 8.1 uses an unprivileged 
* port by default. 
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allow-update { none; }; 


Zone "0.in-addr.arpa" IN { 
type master; 
file "named.zero"; 
allow-update { none; }; 

}; 

include "/etc/rndc.key"; 


2. 查看 根 域 指向 的 区 文件 named.ca 
执行 下 面 的 命令 可 以 查看 根 域 指向 的 区 文件 named.ca 的 内 容 。 


#vi /var/named/named.ca 


//named.ca 内 容 

。 3600000 IN NS 及 .ROOT-SERVERS .NET. 
及 .ROOT-SERVERS .NET. 3600000 A 198.41.0.4 

7? 

;? formerly NS1.ISI.EDU 

?7 

。 3600000 NS 也 .ROOT-SERVERS .NET. 
B.ROOT-SERVERS .NET. 3600000 A 192-228=79-201 

”7 
7 formerly C.PSI.NET 

。 3600000 NS C.ROOT-SERVERS .NET. 
C.ROOT-SERVERS .NET . 3600000 A 192.33.4.12 


;? formerly TERP.UMD.EDU 
7 


E 3600000 NS D.ROOT-SERVERS .NET. 
D.ROOT-SERVERS .NET. 3600000 A 128.8.10.90 
7 


;? formerly NS.NASA.GOV 


。 3600000 NS E.ROOT-SERVERS .NET . 
下 .ROOT-SERVERS .NET. 3600000 A 192.203.230.10 

了 
;? formerly NS.ISC.ORG 

7 

3600000 NS F .ROOT-SERVERS .NET. 
F.ROOT-SERVERS .NET. 3600000 A 192.5-5-241 


;? formerly NS.NIC.DDN.MIL 


G.ROOT-SERVERS .NET. 


H.ROOT-SERVERS .NET. 


3600000 
3600000 


formerly AOS.ARL.ARMY.MIL 


3600000 
3600000 


formerly NIC.NORDU .NET 


总 3600000 

工 .ROOT-SERVERS .NET. 3600000 
7 operated by Verisign, Inc. 
3600000 

可 .ROOT-SERVERS .NET . 3600000 
了 

7 operated by RIPE NCC 

了 

e 3600000 
K.ROOT-SERVERS .NET . 3600000 
7 

; operated by ICANN 

7 

区 3600000 

工 .ROOT-SERVERS .NET . 3600000 
?7 

; operated by WIDE 

7 

可 3600000 
M.ROOT-SERVERS .NET. 3600000 


; 


End of File 


NS 


NS 


NS 


NS 


NS 


NS 


NS 


A 


A 


A 


G.ROOT-SERVERS .NET. 
192.112.36.4 


H.ROOT-SERVERS .NET. 
128.63.2.53 


工 .ROOT-SERVERS .NET. 
192.36.148.17 


J.ROOT-SERVERS .NET. 
192.58.128.30 


K.ROOT-SERVERS .NET. 
L9360314129 


L.ROOT-SERVERS .NET. 
198.32.64.12 


M.ROOT-SERVERS .NET. 
202-12.27233 


(1) 该 文件 提供 了 13 个 根 域 服务 器 的 指向 ， 用 于 递归 查询 。 
(2) 该 文件 无 须 手 工 修改 。 
(3) 应 定期 到 ftp.rs.internic.net 域名 下 载 /domain/named.boot 文件 对 本 文件 进行 更 新 。 


3. 
执行 下 面 的 命令 可 以 查看 本 地 域 文件 。 


查看 本 地 域 文件 


// 查 看 本 地 正 向 解析 文件 


#cat /var/named/chroot/var/namedlocalhost .zone 


$TTL 


86400 
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@ IN SOA @ root ( 
42 7 serial (d. adams) 
3H 2 refresh 
15M > TetEY 
1w 7 expiry 
1D ) 7 minimum 

IN NS @ 

INA L27305081 

// 查 看 本 地 反 向 解析 文件 


#cat /var/named/named.local 
$TTL 86400 
@ IN SOA localhost. root.localhost. ( 
1997022700 ; Serial 
28800 ; Refresh 
14400 7 Retry 
3600000 7 Expire 
86400 ) 7 Minimum 
IN NS localhost. 
下 IN PTR localhost. 


11.4 域名 服务 器 的 配置 


上 面 介 绍 了 BIND 主 配 置 文件 及 相关 配置 文件 的 内 容 ， 下 面 将 通过 对 这 些 文件 的 修 
改 、 配 置 来 完成 一 个 具体 的 域名 服务 器 。 


11.4.1 配置 主 域名 服务 器 


在 本 节 中 将 配置 textcec 域名 。 

1. 在 主 配置 文件 中 添加 区 声明 

执行 如 下 命令 可 以 在 主 配置 文件 中 添加 区 声明 。 
// 编 辑 主 配置 文件 


#vi /etc/named.conf 
// 添 加 test .cc 的 区 声明 
// 查 看 结果 如 下 
// 添 加 正 向 解析 
Zone "test.cc" IN { 
type master; // (指定 master 类 型 ， 即 主 域名 服务 器 类 型 ) 


file "test.com.zone"; 


allow-update { none; }; 
}; 
// 添 加 反 向 解析 
zone "0.168.192.in-addr.arpa" IN { 
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type master; // (指定 master 类 型 ， 即 主 域名 服务 器 类 型 ) 
file "192,168:0.1local™; 
allow-update { none; }; 


3 


2. 创建 正 向 解析 的 数据 库 文件 
执行 如 下 命令 可 以 创建 正 向 解析 的 数据 库 文件 。 


// 在 /var/named/chroot/var/named 文件 夹 下 新 建文 件 test.cc.zone 
#vi /var/named/chroot/var/named/test.cc.zone 


// 添 加 如 下 内 容 
// 定 义 TTL 
STTL 86400 
// 设 置 起 始 授 权 记 录 
@ IN SOA show.test.cc. root.show.test.cc. ( 
42 ; serial (d. adams) 
3H 7 refresh 
15M 7 retry 
1w 7 expiry 
DY 7 minimum 
// 设 置 域名 服务 记录 
IN NS show.test.cc. 
// 设 置 邮件 交换 记录 
IN MX 5 mail.test.cc. 
// 设 置地 址 记录 
show IN A T 9216850529 
mail IN A 192.168.0.29 
// 设 置 别 名 记录 
WWW IN CNAME show.test.cc 


3. 创建 反 向 解析 的 数据 库 文件 
执行 如 下 命令 可 以 创建 反 向 解析 的 数据 库 文件 。 


// 在 var/named/chroot/var/named 文件 夹 下 新 建文 件 192.168.0.1local 
#vi /var/named/chroot/var/named/192.168.0.1local 


// 添 加 如 下 内 容 

// 定 义 默认 的 TTL 

~$TTL 86400 

// 设 置 起 始 授权 记录 

@ IN SOA show.test.cc. root.show.test.cc. ( 
1997022700 ; Serial 
28800 7 Refresh 
14400 Retry 


3600000 7 Expire 
86400 ) 7 Minimum 
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// 设 置 域名 记录 

IN NS show.test.cc. 
// 设 置 反 向 地 址 指针 记录 
29 IN PTR show.test.cc. 
a In PTR mail.test.cc. 
4. 重启 DNS 服务 


执行 如 下 命令 可 以 重启 DNS 服务 。 


#service named restart 
非 


11.4.2 测试 DNS 


安装 了 BIND-utils 包 之 后 就 可 以 使 用 它 提供 的 3 个 NDS 测试 工具 测试 DNS， 它 们 分 
别 是 host、dig、nslookup。 其 中 host、dig 是 命令 行 工具 ， 而 nslookup 既 可 以 使 用 命令 行 
运行 ， 也 可 以 使 用 交互 式 运行 。 

在 使 用 测试 工具 前 ， 首 先 修改 客户 端 配置 文件 /etc/resolv.conf。 添 加 如 下 行 ， 使 其 指向 
刚刚 配置 的 DNS 服务 器 。 


nameserver 192.168.0.29 


使 用 host 命令 测试 DNS 服务 器 
下 面 举 例 说 明 host 命令 的 使 用 。 
// 查 看 DNS 客户 配置 


# cat /etc/resolv.conf 

search huayang.com test.cc 

nameserver 192.168.0.29 

nameserver 192.168.0.2 

nameserver 202.106.0.20 

// 查 看 主 域名 服务 器 的 IP 地 址 

# ifconfig eth0 1grep inet 

inet addr:192.168.0.29 Bcast:192.255.255.255 Mask:255.0.0.0 
inet6 addr: fe80::20c:29ff:fe7l:9f3/64 Scope:Link 

// 正 向 查询 主机 地 址 

# host show.test.cc 

show.test.cc has address 192.168.0.29 

// 反 向 查询 主机 地 址 

# host 192.168.0.29 

29.0.168.192.in-addr.arpa domain name pointer mail.test.cc. 
29.0.168.192.in-addr.arpa domain name pointer show.test.cc. 


// 查 询 不 同类 型 的 资源 记录 配置 
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# host -t NS test.cc 

test.cc name server show.test.cc. 

# host -~t SO0A test.cc 

test.cc SOA show.test.cc. root.show.test.cc. 42 10800 900 604800 86400 
#host -t MX test.cc 

test.cc mail is handled by 5 mail.test.cc. 
// 查 看 整个 域 的 信息 

# host -1 test.cc. 192.168.0.29 

Using domain server: 

Name: 192.168.0.29 

Address: 192.168.0.29#53 

Aliases: 


test.cc name server show.test.cc. 

Pmail.test.cc has address 192.168.0.29 

show.test.cc has address 192.168.0.29 

// 列 出 与 一 个 主机 名 相关 的 资源 记录 的 详细 信息 

# host -a show.test.cc 

Trying "show.test.cc" 

77 ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50958 

77 flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 


77 QUESTION SECTION: 
?show.test.cc. IN ANY 


77 ANSWER SECTION: 
show.test.cc. 86400 IN A 192.168.0.29 


7??; AUTHORITY SECTION: 
test.cc. 86400 IN NS show.test.cc. 


Received 60 bytes from 192.168.0.29#53 in 32 ms 


// 运 行 nslookup 

# nslookup 

// 正 向 查询 主机 地 址 

> show.test.cc 

Server: 192.168.0.29 
Address: 192.168.0.29#53 


Name: show.test.cc 
Address: 192.168.0.29 

// 查 询 test .cc 域 中 的 别名 记录 配置 
> www.test.cc 

Server: 192.168.0.29 
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Www.test.cc canonical name = show.test.cc. 
Name: show.test.cc 

Address: 192.168.0.29 

// 反 向 查询 主机 地 址 

> 192°160-0329 

Server: 192.168.0.29 

Address: 192.168.0.29#53 


29.0.168.192.in-addr.arpa name 
29.0.168.192.in-addr.arpa name 
// 显 示 当 前 设置 的 所 有 数值 

> Set aa 

Default server: 192.168.0.29 
Address: 192.168.0.29#53 

Default server: 192.168.0.2 
Address: 192.168.0.2#53 

Default server: 202.106.0.20 
Address: 202.106.0.20#53 


show.test.cc. 


mail.test.cc. 


Set options: 
novc nodebug nod2 
search recurse 
timeout = 0 retry = 2 port = 53 
querytype = A class = IN 
srchlist = huayang.com/test.cc 

// 查 询 test .cc 域 的 NS 资源 记录 

> set type=NS 


> test.cc 
Server: 192.168.0.29 
Address: 192.168.0.29#53 


test.cc nameserver = show.test.cc. 


// 查 询 test .cc 域 的 SOA 资源 记录 配置 
> set type=SOA 


> test.cc 

Server: 192.168.0.29 
Address: 192.168.0.29#53 
test.cc 


origin = show.test.cc 

mail addr = root.show.test.cc 
serial = 42 
refresh = 10800 
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retry = 900 
expire = 604800 
minimum = 86400 
// 查 询 test .cc 域 的 Mx 资源 记录 配置 


> set type=MX 


> test.cc 
Server: 192.168.0.29 
Address: 192.168.0.29#53 


test.cc mail exchanger = 5 mail.test.cc. 
// 查 询 test .cc 域 的 所 有 配置 
> set type=any 


> test.cc 

Server: 192.168.0.29 
Address: 192.168.0.29#53 
test.cc 


origin = show.test.cc 
mail addr = root.show.test.cc 
serial = 42 
refresh = 10800 
retry = 900 
expire = 604800 
minimum = 86400 
test.cc nameserver = show.test.cc. 
test.cc mail exchanger = 5 mail.test.cc. 
> exit 
[root@localhost named]# 


11.4.3 配置 简单 的 负载 均衡 


利用 DNS 轮 询 可 以 实现 简单 的 负载 均衡 ， 这 是 通过 对 单个 域名 设置 多 个 人 P 地 址 实现 
的 。 例 如 ， 服 务 器 对 show.testcc 配置 3 个 IP 地 址 ， 分 别 是 192.168.0.29、192.168.0.210、 
192.168.0.220。 当 客户 首次 对 show.test.ce 进行 查询 时 ， 返 回 地 址 192.168.0.210， 第 二 次 返 
回 地址 192.168.0.220， 第 三 次 返回 地 址 是 192.168.0.29， 第 四 次 又 回 到 了 192.168.0.210， 


加 


从 而 实现 简单 的 负载 均衡 。 
为 了 配置 DNS 负载 均衡 ， 执 行 如 下 的 操作 步骤 。 
// 修 改正 向 区 文件 
#vi /var/named/chroot/var/named/test.cc.zone 
// 添 加 如 下 两 行 
Show IN A 192.168.0.220 
Show IN A 192.168.0.210 
// 修 改 反 向 区 文件 


#vi /var/named/chroot/var/named/192.168.0.1local 
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// 添 加 如 下 两 行 

220 IN PTR show.test.cc. 
210 IN PTR show.test.cc. 
// 对 配置 进行 检测 


# host show.test.cc 

show.test.cc has address 192.168.0.210 
show.test.cc has address 192.168.0.220 
show.test.cc has address 192.168.0.29 


# host show.test.cc 

show.test.cc has address 192.168.0.220 
show.test.cc has address 192.168.0.29 
show.test.cc has address 192.168.0.210 


# host show.test.cc 

show.test.cc has address 192.168.0.29 
show.test.cc has address 192.168.0.210 
show.test.cc has address 192.168.0.220 


# host show.test.cc 

show.test.cc has address 192.168.0.210 
show.test.cc has address 192.168.0.220 
show.test.cc has address 192.168.0.29 


11.4.4 ”辅助 域名 服务 器 


配置 辅助 域名 服务 器 相对 简单 ， 在 要 配置 辅助 域名 服务 器 的 Linux 计算 机 上 只 需要 
对 主 配置 文件 进行 配置 ， 无 须 配置 区 域 数据 库 文件 ， 数 据 库 文件 将 从 主 域名 服务 器 上 自 
动 获得 。 
焉 注意 : 不 能 在 同一 台 机 器 上 同时 配置 同一 个 域 的 主 域名 服务 器 和 辅助 域名 服务 器 。 
以 下 操作 在 另 一 台 机 器 上 进行 。 


配置 辅助 域名 服务 器 ， 可 以 执行 如 下 操作 。 
// 修 改 主 配置 文件 


#vi /etc/named.conf 
// 添 加 正 向 区 域 声 明 
Zone "test.cc" IN { 
type slave; 
Eile "test:cc.Z0neny 
masters { 192.168.0.29; }; 
}; 
// 添 加 反 向 区 域 声明 
zone "0.168.192.in-addr.arpa" IN { 
type slave; 
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file "192.168.0.local™; 
masters { 192.168.0.29; 


// 重 新 启动 服务 器 
#service named restart 
// 修 改 客户 端 配置 文件 

#vi /etc/resolv,conf 


// 添 加 如 下 内 容 


nameserver 192.168.0.29 


// 查 看 DNS 客户 端 配 置 


# cat /etc/resolv.conf 


1; 


; generated by /sbin/dhclient-script 


search huayang.com 


nameserver 192.168.0.29 


nameserver 192.168.0.2 


nameserver 202.106.0.20 
// 查 看 辅助 域名 服务 器 的 IP 地 址 
# ifconfig eth01grep inet 


inet addr:192.168.0.19 Bcast:192.255.255.255 Mask:255.0.0.0 


inet6 addr: fe80::20c:29ff:fedb:b53e/64 Scope:Link 


// 测 试 并 显示 域 配 置信 息 
# host -a test.cc 
Trying "test.cc" 


77 QUESTION SECTION: 


->>HEADER<<- opcode: QUERY, 
flags: qr aa rd ra; QUERY: 


itest.cc. 

7?; ANSWER SECTION: 

test.cc. 86400 
root.show.test.cc. 42 10800 
test.cc. 86400 
test.cc. 86400 


7 ADDITIONAL SECTION: 
show.test.cc. 
show.test.cc. 
show.test.cc. 
mail.test.cc. 


86400 
86400 
86400 
86400 


1, ANSWER: 


status: NOERROR, id: 56201 
3, AUTHORITY: 0, ADDITIONAL: 


show.test.cc. 


show.test.cc. 
5 mail.test.cc. 


192.168.0.29 
192.168.0.210 
192.168.0.220 


IN ANY 
IN SOA 
900 604800 86400 
IN NS 
IN MX 
IN A 
IN A 
IN A 
IN A 


192.168.0.29 
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[root@localhost named]# 


11.4.5 ”构建 分 离 解 析 的 DNS 服务 器 
其 实 分 离 解析 服务 器 是 另 一 种 DNS 主 服务 器 。 我 们 所 说 的 分 离 解析 主要 是 指 根据 不 


同 的 客户 端 提供 不 同 的 DNS 解析 记录 。 例 如 ， 当 DNS 一 方面 对 Intemet 用 户 ， 另 一 方面 
对 内 网 用 户 ， 将 内 网 用 户 的 DNS 请 求 (如 www.test.com 或 mail.test.com) 直 接 发 送 到 内 网 的 


司 


站 服务 器 或 是 邮件 服务 器 ， 可 大 大 减轻 网 关 的 地 址 转换 负担 。 
下 面 通过 实战 模式 图 学 习 分 离 解 析 的 DNS 服务 器 的 配置 ， 如 图 11-4 所 示 。 
网 关 /域名 服务 器 


Www. test. com ss 


eth0: 173.17.17.124 Inteme 客 户 机 
1: 192.168.1.124 WHA 


局 域 网 PC 机 
192.168.1.0/24 


a 
| 网 站 服务 器 。 ”邮件 服务 器 
本 3 号 192.168.1524 。 192.168.1.624 


11-4 “实战 模式 图 


图 11-4 所 示 基 本 的 网 络 环境 如 下 。 

@ DNS 服务 器 架设 在 网 关 服务 器 中 ，IP 地 址 是 173.17.17.1。 

@ 所 负责 DNS 的 域 为 testcon， 在 Internet 中 的 公共 域名 是 www.test.com 和 
mail.test.com， 二 者 均 解 析 为 网 关 的 公 网 也 地址 172.17.17.1。 

@ 公司 的 网 站 、 邮 件 服务 器 在 内 网 ， 两 台 服务 器 的 IP 地 址 分 别 为 192.168.1.5 和 
192.168.1.6。 

@ 局 域 网 网 段 192.168.1.0/24 内 网 所 有 主机 将 DNS 服务 器 的 地 址 设置 为 
192.168.1.1， 当 内 网 用 户 访问 地 址 www.test.com 和 mail.test.com 时 ， 分 别 解 析 为 
内 部 的 服务 器 卫 地 址 192.168.1.5 和 192.168.1.6。 


1. 建立 主 配置 文件 named.conf 


在 named.conf 文件 中 主要 使 用 view 配置 语句 和 match-clents 配置 选项 。 根 据 不 同 的 客 
户 端 地 址 ， 将 对 test.com 域 的 查询 对 应 到 不 同 的 地 址 数据 库 文件 ， 从 而 由 不 同 的 数据 库 文 
件 提供 不 同 的 解析 结果 。 建 立 named.conf 文件 ， 添 加 test.com 区 域 的 分 离 解析 设置 ， 有 具体 
如 下 。 


# Vi /var/named/chroot/etc/named.conf 


内 容 如 下 。 
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options { 
directory "/var/named"; 
}; 
view "LAN"™ { // 设 置 面 向 内 网 用 户 的 视图 
match-clients { 192.168.1.0/24; }; // 匹 配 条 件 为 来 自 内 网 的 客户 端 地 址 
Zone "test.com" IN { 
type master; 


file "test.com.lan"; // 内 网 用 户 使 用 的 地 址 数据 库 文件 
2 
}; 
view "WAN" { // 设 置 面向 外 网 用 户 的 视图 
match-clients { any; }; / /匹配 条 件 为 任意 地 址 


Zone "test.com" IN { 
type master; 
file "test.com.wan"; // 外 网 用 户 使 用 的 地 址 数据 库 文件 
ia 
}; 


注意 将 包含 match-clients { any; } 的 view 配置 放 在 最 后 ， 否 则 会 造成 错误 。 
2. 分 别 建 立 内 、 外 网 的 区 域 数 据 库 文件 


根据 named.conf 中 的 zone 设置 为 test.com 区 域 ， 分 别 建立 面向 内 网 和 外 网 客户 端的 
地 址 数据 库 文件 ， 有 具体 如 下 。 


用 vi 命令 编辑 test.com 域 的 面向 内 网 客户 端的 地 址 数据 库 文件 。 
# Vi /var/named/chroot/Vvar/named/test.com.1an 
内 容 如 下 。 


$TTL 86400 
@IN SoA @ root ( 2011011201 1H 15M 10H 1D ) 


IN NS ns.test.com. 
IN MX 5 mail.test.com. 
WWW IN A 9265160s15 
ns IN A 192:1601:1 
mail IN A 192.168.1.6 


用 vi 命令 编辑 test.com 域 的 面向 外 网 客户 端的 地 址 数据 库 。 


# Vi /var/named/chroot/var/named/test.com.wan 


内 容 如 下 。 


STTL 86400 
Q@ IN SOR @ root ( 2011011201 1H 15M 10H 1D ) 
IN NS ns.test.com. 
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IN MX 5 mail.test.com. 
WWW IN A ER 
ns IN A Ua 
mail IN A FE 


3. 重新 启动 DNS 服务 器 
新 启动 DNS 服务 器 ， 内 容 如 下 。 


#service named restart 
大 


4. 验证 分 离 服 务 器 
分 别 在 内 网 用 户 和 外 网 用 户 进行 验证 ， 内 容 如 下 。 


# nslookup www.test.com 


结果 如 下 。 

Server: 13 LI 
Address: Ek lr ry 
Name: WwW. test .com 

Address: 37 了 二 


# nslookup www.test.com 


Server: 192.168.1.100 
Address: 192.168.1.100#53 
Name: WWW. test .com 

Address: 192.168.1.5 


11.5 BIND 9.3.4 配置 


BIND 在 9.3.0 以 后 的 版 本 中 没有 了 named.conf 配置 文件 ， 新 版 本 中 除了 一 些 必要 的 
BIND 的 安装 文件 外 ， 还 要 安装 一 个 缓存 文件 caching-nameserver-9.3.4-6.P1.el5.i386.Ipm， 
在 所 有 的 BIND 软件 包 安 装 完成 后 ， 在 /etc/ 目 录 下 会 出 现 两 个 DNS 配置 文件 ，named.caching- 


nameserver.conf 和 named.rfc1912.zones 文件 。 


11.5.1 ”BIND 9.3.4 的 配置 文件 


BIND 9.3.4 的 配置 文件 包括 named.caching-nameserver.conf( 缓 存 域名 服务 器 主 配置 文 
件 ) 和 named.rfc1912.zones。 


1. named.caching-nameserver.conf 


缓存 域名 服务 器 是 对 任何 域 都 不 提供 权威 解析 的 域名 服务 器 。 其 独自 简单 地 完成 查 
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询 ， 并 记 住 这 些 查询 以 备 后 续 使 用 。 要 建立 这 样 的 服务 器 ， 只 需 像 平时 一 样 配 置 一 个 域名 
服务 器 ， 而 不 需 配 置 域 。 


配置 文件 内 容 如 下 。 


// named.caching-nameserver.conf 

WA 

// Provided by Red Hat caching-nameserver package to configure the 
// ISC BIND named(8) DNS server as a caching only nameserver 

// (as a localhost DNS resolver only). 

WE 

// See /usr/share/doc/BIND*/sample/ for example named configuration 
files 

Wy 

// DO NOT EDIT THIS FILE - use system-config-BIND or an editor 

// to create named.conf - edits to this file will be lost on 

// caching-nameserver package upgrade 


We 
options { // 服 务 器 的 全 局 配置 选项 及 一 些 默认 设置 
listen-on port 53 { 127.0.0.1; }; // 监 听 端 口 
listen-on-v6 port 53 { ::1; }; // 对 ip6 支持 
directory "/var/named"; // 区 域 文件 存储 目录 
dump-file "/var/named/data/cache_dump.db"; // 设 置 域名 缓存 文件 
// 的 保存 位 置 和 文件 名 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
query-source port 53; 
query-source-v6 port 537 
allow-query { localhost; }; // 指 定 允 许 进行 查询 的 主机 ， 要 所 有 的 计算 机 都 可 
// 以 查询 ( 改 成 a11) 
六 
logging { // 指 定 服务 器 日 志 记录 的 内 容 和 日 志 信 息 来 源 
channel default debug { 
file "data/named.run"; 
severity dynanmic; 
bs; 
}; 
View localhost resolver { 
match-clients { localhost; }; ] // 查 询 者 的 源 地 址 ，any 表示 
localhost_resolver 视图 对 任何 主机 开放 
match-destinations { localhost; }; // 查 询 者 的 目标 地 址 
recursion yes; // 设 置 进行 递归 查询 


include "/etc/named.rfcl1912.zones"; // 没 有 直接 在 此 文件 中 设置 根 区域 ， 而 
// 是 通过 加 载 /etc/named.rfc1912.zones 文件 ， 此 文件 主要 定义 了 根 区 域 、localdomain 
// 区 域 、localhost 区 域 及 反 向 解析 区 域 
] 7 
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2. named.rfc1912.zones 


该 文件 和 上 一 节 介绍 的 named.conf 文件 配置 一 样 ， 它 的 主要 作用 是 配置 DNS 的 正 向 
解析 和 反 向 的 区 域 文件 。 


11.5.2 配置 过 程 


下 面 就 BIND 9.3.4 的 安装 配置 过 程 做 详细 介绍 。 

1. 安装 BIND 9.3.4 

使 用 Linux 光盘 中 RPM 包 进行 安装 ， 也 可 以 使 用 Yum 安装 或 编译 安装 的 方法 。 主 要 安 
装 以 下 RPM 软件 包 : BIND-9.3.4-6.Pl1.el5.1386.1pm、BIND-chroot-9.3.4-6.Pl1.el5.1386.1pm、 
BIND-devel-9.3.4-6.P1.el15.1386.Ipm、caching-nameserver-9.3.4-6.P1.e15.1386.Ipm。 


2. 配置 


安装 完成 后 ， 在 /etc/ 下 可 以 找到 named.caching-nameserver.conf 和 named.rfc1912.zones 
文件 ， 对 这 两 个 文件 分 别 进行 编辑 配置 。 下 面 是 配置 完成 后 的 named.caching- 
nameserver.conf 文件 的 内 容 。 


options { 
listen-on port 53 { any; }; 
isten-on v6 port 53. 1 ssle J} 
directory "/var/named"; 
dump-file "/var/named/data/cache dump.db"; 
statistics-file "/var/named/data/named stats.txt"; 
memstatistics-file "/var/named/data/named mem stats.txt"; 
query-source port 53; 
query-source-v6 port 53; 
allow-query Uany 
机 
logging { 
channel default debug { 
file "data/named.run"; 
severity dynamic; 
}; 
ys 
View localhost resolver { 
match-clients { any? }; 
match-destinations { any; }; 
recursion yes; 
include "/etc/named.rfc1912.zones"; 
}; 


namedrfc1912.zones 文件 的 配置 和 上 面 的 named.conf 配置 一 样 ， 下 面 是 配置 完成 后 的 


| 
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named.rfc1912.zones 文件 内 容 。 


Zone "test.com" IN { 
type master; 
file "test.com.zone"; 
allow-update { none; }; 


1; 


Zone "100.168.192.in-addr.arpa" IN { 
type master; 
file "192.168.100.1local"7 
allow-update { none; }; 


二 
配置 正 向 和 反 向 解析 的 文件 ， 具 体 配置 过 程 同 上 一 
图 11-6 所 示 。 


。 配 置 后 文件 内 容 如 图 11-5 和 


11-5 正 向 解析 文件 


11-6 反 向 解析 文件 


3. 启动 DNS 服务 
启动 DNS 服务 ， 具 体内 容 如 下 。 


#service named start 


4. 修改 客户 机 的 网 络 配 置 ， 使 得 客户 机 通过 DNS 服务 器 192.168.0.13 进行 域名 解析 


// 修 改 resolv.conf 文件 


#vi resolv.conf 


内 容 如 下 。 


search test.com 


nameserver 192.168.0.13 


di 
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本 章 习题 
一 、 填 空 题 
1. DNS 的 英文 全 称 是 ， 中 文 名 称 是 。 
2. 一 个 DNS 服务 器 具备 ， 和 
3. DNS 的 查询 模式 分 为 
4. FQDN 的 全 称 是 什么 ， 中 文 名 称 
5. DNS 服务 器 的 主 配 置 文件 : 
6. BIND 9.3.0 级 以 上 版 本 没有 namd.conf 主 配置 文件 ， 那 么 它 的 主 配置 文件 名 称 是 


二 、 问 答题 

1.DNS 具有 哪些 特征 ? 

2.DNS 是 由 哪 几 部 分 组 成 的 ? 

3. 简单 描述 DNS 递归 查询 和 登 代 查询 的 过 程 。 

4. 叙述 主 DNS 服务 器 和 辅助 DNS 服务 器 的 作用 。 

5. 说 出 几 个 测试 DNS 服务 器 的 命令 。 

6. 分 离 解析 的 DNS 服务 器 的 作用 是 什么 ? 

7. 公司 有 一 个 DNS 服务 器 ，IP 地 址 是 212.23.9.12; 一 个 Web 服务 器 ， 卫 地 址 是 
212.23.13.33; 一 个 FTP 服务 器 ，IP 地 址 是 212.23.55.2; 一 个 邮件 服务 器 ， 卫 地 址 是 
212.23.43.22。 公 司 的 二 级 域名 是 show.com。 对 外 提供 以 上 所 有 服务 器 ， 请 在 DNS 中 配置 
写 出 主 配 置 文件 的 内 容 及 区 域 文 件 的 内 容 ， 以 及 正 向 、 反 向 数据 文件 的 内 容 。 

三 、 上 机 实 训 

公司 注册 了 DNS 域 “show.com” ， 并 准备 基于 Linux 系统 搭建 两 台 DNS 服务 器 ， 分 


别 作为 主 、 从 域名 服务 器 。 首 先 需要 在 网 关 服 务 器 上 构建 主 域名 服务 (如 图 11-7 所 示 )， 同 
时 面向 Internet 和 内 部 网 络 提供 “show.com” 域 内 主机 的 名 称 解析 服务 。 


[= 一 = 、 从 域名 服务 器 
=~ 173.16.162/24 
Internet 吉 户 机 

173.16.16.16/24 网 尖 / 主 域名 服务 器 


Wwwshowcom 
eth0: 173.16.16.1/24 


eth1: 192.168.1 ”a 
局 域 网 PC 机 p> ~ 
192.168.10/24 -一 一 一 


- ™ 
ec my ; 网 站 服务 莽 。 。 部 件 原 务 基 
| > 192.168.1.5/24 192.168.1.6/24 


11-7” 主 域名 服务 
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需求 描述 

(1) 公司 对 外 (Internet) 的 域名 解析 记录 : www.show.com 一 173.16.16.1 (网 关 的 公 网 接口 
地 址 ); mail.show.com 一 173.16.16.1 (网 关 的 公 网 接口 地 址 )。 

(2) 公司 对 内 (局 域 网 ) 的 域名 解析 记录 : www.show.com 一 192.168.1.5 (网 站 服务 器 私有 
地 址 ); mail.show.com 一 192.168.1.6 (邮件 服务 器 私有 地 址 )。 

(3) 泛 域 名 解析 记录 : “show.com” 域 内 的 其 他 主机 名 一 173.16.16.1。 

实现 思路 

(1) 先 配置 好 各 主机 的 IP 地 址 、 主 机 名 等 网 络 环境 : 虚拟 机 1 为 主 域名 服务 器 ， 包 括 
两 块 虚拟 网 卡 (VMnetl1、VIMnet4); 虚拟 机 2 为 测试 客户 机 ， 包 括 一 块 虚拟 网 卡 (VMnet4); 
Windows XP 宿主 机 作为 案例 中 的 内 网 PC 测试 机 。 

(2) 确认 安装 BIND、BIND-chroot 等 相关 软件 包 。 

(3) 建立 named.conf 主 配置 文件 。 

(4) 分 别 建立 面向 内 网 、 外 网 客户 端的 地 址 数据 库 文件 。 

(5) 启动 named 服务 后 ， 验 证 DNS 解析 是 否 正常 。 

注意 事项 

要 确保 named.conf 文件 的 属 主 用 户 是 named， 并 且 named 用 户 对 named.conf 配置 文 
件 有 读 取 权限 。 


\ 
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学 习 目的 与 要 求 : 

随 着 Internet 上 -Web 服务 的 发 展 ， 几 乎 各 个 公司 、 院 校 、 社 会 机 构 等 都 在 建立 或 计划 
建立 自己 的 网 站 。Web 服务 是 实现 信息 发 布 、 资 料 查询 、 数 据 处 理 、 视 频 点 播 等 诸多 应 用 
的 基本 平台 ， 所 以 架设 配置 Web 服务 器 是 Internet 和 Intranet 必 不 可 少 的 工作 。 

本 章 介 绍 Linux 下 如 何 使 用 功能 强大 的 apache 服务 器 软件 来 架设 Web 服务 器 ， 读 者 
通过 本 章 的 学 习 应 掌握 如 下 知识 点 。 


掌握 apache 服务 器 各 个 配置 文件 的 位 置 。 
了 解 apache 服务 器 的 主 配置 文件 的 内 容 。 
根据 不 同 的 需求 熟练 配置 apache 服务 器 。 
会 使 用 ssl 加 密 web 服务 器 。 

掌握 架设 LAMPweb 服务 器 的 技术 能 力 。 
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12.1 Web 服务 器 


Internet 上 最 热门 的 服务 之 一 就 是 全 球 信息 网 WWW(World Wide Web) 服 务 ，Web 已 经 
成 为 很 多 人 在 网 上 查找 、 浏 览 信 息 的 主要 手段 ， 是 一 种 交互 式 图 形 界面 的 Intermet 服务 ， 
有 具有 强大 的 信息 连接 功能 ， 使 得 成 千 上 万 的 用 户 通过 简单 的 图 形 界面 就 可 以 访问 各 个 大 
学 、 组 织 、 公 司 等 机 构 及 个 人 的 最 新 信息 和 各 种 服务 。 


12.1.1 Web 服务 器 简介 


鉴于 Web 服务 在 Internet 领域 应 用 的 广泛 性 ， 商 界 很 快 看 到 了 其 商业 的 价值 。 许 多 公 
司 建立 的 主页 ， 利 用 Web 在 网 上 发 布 消息 ， 并 将 它 作 为 各 种 服务 的 界面 ， 如 客户 服务 、 特 
定 产品 和 服务 的 详细 说 明 、 宣 传 广告 及 日 渐 增 长 的 产品 销售 和 服务 ， 商 业 用 途 促进 了 Web 
的 发 展 。 

Web 服务 具有 以 下 特点 。 

@ Web 是 图 形 化 的 界面 ， 便 于 操作 。 

@ Web 与 平台 无 关 ， 可 以 安装 到 任何 操作 系统 上 。 

@ ”Web 是 分 布 式 的 ， 一 组 Web 服务 器 为 用 户 提供 服务 。 

@ Web 是 动态 的 ， 前 台 的 界面 与 后 台数 据 库 结合 。 

@ Web 是 交互 的 。 

Web 系统 是 C/S 模式 的 即 客户 机 /服务 器 模式 。 常 用 的 Web 服务 器 是 Linux 下 的 
Apache 和 微软 的 IS 等 ， 常 用 的 客户 端 程序 是 浏览 器 ， 如 正 、Netscape、Mozilla 等 。 我 们 
可 以 在 浏览 器 的 地 址 栏 中 输入 统一 资源 定位 地 址 (URL) 来 访问 Web 页 面 。Web 最 基本 的 概 
念 是 超 文 本 (Hypertext)， 它 使 得 文本 不 再 是 传统 的 书页 形式 ， 而 是 可 以 在 阅读 过 程 中 从 一 
个 页 面 跳 转 到 另 一 个 页 面 位置 。 用 来 书写 Web 页 面 的 语言 称 为 超 文本 标记 语言 ， 即 
HTML。Web 服务 遵从 HTTP 协议 ， 默 认 的 TCP/IP 端口 是 80。 客 户 机 与 服务 器 的 通信 过 
程 为 Web 客户 (浏览 器 ) 根 据 用 户 输入 的 URL 连 到 相应 的 远程 Web 服务 器 上 ， 从 指定 的 服 
务 器 获得 指定 的 Web 文档 ， 断 开 与 Web 服务 器 的 连接 ， 如 图 12-1 所 示 。 


Web 服务 器 


图 12-1 Web 与 客户 的 通信 过 程 
也 就 是 说 ， 平 时 我 们 在 浏览 某 个 网 站 的 时 候 是 每 读 取 一 个 网 页 建立 一 次 连接 ， 读 完 后 
马上 断 开 ， 当 需要 另 一 个 页 面 时 重新 连接 ， 周 而 复 始 。 
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12.1.2 Apache 简介 


1995 年 ， 美国 国家 计算 机 安全 协会 QQCSA) 开 发 创建 了 NCSZ 全 球 网 络 服务 器 软件 ， 
其 最 大 的 特点 是 HTTP 程序 ， 比 当时 的 CERN( 欧 洲 原子 核 研究 中 心 ， 它 是 世界 上 最 早 的 
Web 服务 器 ) 更 容易 配置 和 创建 ， 同 时 由 于 当时 其 他 服务 器 软件 的 缺乏 ， 它 很 快 流行 起 
来 ， 但 是 后 来 该 服务 器 的 核心 开发 人 员 几 乎 不 再 用 NCSA， 一 些 使 用 者 自己 创建 了 一 个 组 
织 来 管理 编写 补丁 ， 于 是 Apache Group 应 运 而 生 ， 他 们 把 该 服务 器 软件 称 为 Apatche， 
Apatche 源 于 A Patchy Server 的 读音 ， 意 思 是 充满 补丁 的 服务 器 。 如 今 Apatche 已 经 慢 慢 地 成 
为 mtemet 上 流行 的 Web 服务 器 软件 ， 所 有 服务 器 软件 中 Apatche 占据 绝对 优势 ( 据 权 威 部 门 
统计 ，2005 年 Apatche 市 场 占有 率 为 70%， 远 远 领 先 于 排名 第 二 的 HS)。Apatche 具有 以 下 

(1) 支持 最 新 的 HTTP 协议 。 

(2) 支持 PHP、CGI、Java Servlets 和 FastCGI。 

(3) 支持 安全 Socket 层 。 

(4) 集成 了 Perl 脚本 编程 语言 。 

(5) 支持 SSI 和 虚拟 主机 。 

(6) 实现 了 动态 共享 对 象 ， 允 许 在 运行 时 动态 装载 功能 模块 。 

(7) 具有 稳定 的 工作 性 能 。 

(8) 具有 安全 、 有 效 和 易于 扩展 的 特征 。 

(9) 支持 多 种 操作 系统 UNIX、Linux、Windows。 


12.2 ”安装 和 启动 Apache 


开放 源 代码 的 Apache 服务 器 起 初 由 Illinois 大 学 Urbana-Champaign 的 国家 高 级 计算 程 
序 中 心 开发 ， 后 来 被 开放 源 代码 团体 的 成 员 不 断 地 发 展 和 加 强 。 它 逐渐 在 功能 和 速度 上 开 
始 超越 其 他 Web 服务 器 。Apache 服务 器 拥有 稳定 可 信 的 美誉 ， 因 此 从 1995 年 1 月 以 来 ， 
一 直 是 Intemet 上 最 流行 的 Web 服务 器 。 下 面 介绍 Linux 操作 系统 中 安装 配置 Apache 服 
务 器 的 方法 。 


12.2.1 安装 Apache 


1. 从 RPM 安装 Apache 


Red Hat 光盘 中 带 有 Apache 的 RPM 包 ， 有 两 个 文件 : httpd-2.0.52-25.i386.Ipm 和 
httpd-manual-2.0.52-25.1386.1pm。 
下 面 就 以 RPM 安装 为 例 介 绍 Apache 的 安装 ， 如 果 用 户 已 经 安装 了 可 以 跳 过 此 步骤 。 
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// 查 看 是 否 安装 了 Apache 

rpm -qa lgrep httpd 

// 插 入 光盘 进入 安装 目录 

cd /media/cdrecorder/RedHat/RPMS 

// 安 装 所 需要 的 RPM 包 

rpm -ivh httpd-2.0.52-25.i386.rpm 

rpm -ivh httpd-manual-2.0.52-25.i386.rpm 
// 弹 出 光盘 


cd; eject 


2. 启动 Apache 


安装 完成 后 ， 下 一 步 就 是 启动 了 ，Apache 默认 为 独立 启动 方式 启动 ， 所 以 需要 执行 如 
下 步 又 。 


// 启 动 Apache 
[root@localhost RPMS]# service httpd start 
启动 httpd: [ 确定 ] 
// 检 查 Apache 是 否 被 启动 
[root@localhost RPMS]# pstree |grep httpd 
上 一 httpd: 8* [httpd] 
// 测 试 语法 的 正确 性 
[root@localhost RPMS]# apachect1l configtest 
syntax OK 
// 查 看 运行 状态 
[root@localhost RPMS]# service httpd status 
httpd (pid 4475 4474 4473 4472 4471 4470 4469 4468 4465) 正在 运行 ... 
[root@localhost RPMS]# 


3. 图 形 化 方式 启动 httpd 


httpd 还 有 一 种 更 方便 的 启动 方法 ， 就 是 图 形 方式 ， 选 择 “ 桌 面 ”|“ 应 用 程序 ”|“ 系 
统 设置 ”|“ 服 务 器 设置 ”命令 ， 选 中 httpd 复 选 框 ， 如 图 12-2 所 示 。 


一 一 一 一 一 一 一 一 
arr 
© 2 昌 四 
旧 总 各 | ws nxe 
@ opscontgda 加 RE 
ee Apache Is a Word Wide Web server his used to serve HTML 
Oommen 
OD we 


ome 
rie 
Dasew | 


RE 
DO ehowp hpd (pd 4475 4474 4473 4472 4471 4470 4469 4468 4465) 
moning” 


加 


12-2 “服务 配置 ”窗口 
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在 该 窗口 中 找到 httpd 选项 ， 从 而 用 户 可 以 对 httpd 执行 开始 、 停 止 、 重 启 操作 ， 也 可 
以 选中 httpd 前 面 的 复 选 框 ， 使 系统 在 每 次 启动 时 自动 运行 httpd。 

(1) 如 果 希 望 每 次 启动 计算 机 Apache 就 自动 启动 ， 也 可 以 使 用 命令 ntsysv 选择 httpd。 

CO) 在 检测 语法 错误 时 还 可 使 用 httpd -t。 

G) 在 焉 地 址 栏 中 输入 服务 器 的 也 地 址 ， 如 果 能 看 到 “Test Page” 测 试 页 (该 网 页 文 
件 默认 的 路 径 为 /Var/www/htmlindex.html)， 如 图 12-3 所 示 ， 就 表明 Apache Server 已 经 启动 。 


眶 


图 12-3 ”Apache Server 启动 成 功 


12.2.2 ”服务 器 文件 目录 


如 果 已 经 安装 了 Apache， 那 么 在 Linux 下 的 Web 服务 器 就 会 在 目录 /var/www 设置 
Web 站 点 ， 同 时 也 为 管理 站 点 设置 了 几 个 目录 。 表 12-1 列 出 了 Web 服务 器 的 目录 和 配置 
文件 。 

表 12-1 Apache 服务 器 的 目录 和 配置 文件 


项 目 描 述 
这 个 目录 提供 Apache 预 设 的 一 些小 提示 ， 大 部 分 是 图 片 和 图 

/var/www/icons 标 

pe 如 果 因为 主机 设置 错误 ， 或 是 浏览 器 端 要 求 的 资料 错误 ， 在 浏 
Web 站 览 器 上 出 现 的 错误 信息 ， 就 以 这 个 目录 的 预 设 信息 为 主 
点 目录 /var/www/html Web 站 点 的 Web 文件 (首页 所 在 的 目录 ) 

/var/www/cgi-bin CFI 程序 文件 

/var/www/manual 服务 器 手册 

/var/www/usage webalizer 程序 文件 
配置 文 hacess 基于 目录 的 配置 文件 ，.htesess 文件 包含 访问 控制 指令 
件 /etc/httpd/conf Apache Web 服务 器 配置 文件 目录 

/etc/httpd/confy/httpd.conf | Apache Web 服务 器 的 主 配置 文件 
启动 脚 | /etc/rc.diinitdhttpd Web 服务 器 守护 进程 的 启动 脚本 
本 /etc/re.d/rc3.d/S85httpd | 将 运行 级 3 目录 (/etc/tc3.d) 连 接 到 目录 /etc/rc.dfinit.d 中 的 启动 脚本 
应 用 文 /usr/sbin Apache Web 服务 器 程序 文件 和 实用 程序 的 位 置 
件 /usr/doc Apache Web 服务 器 文档 

/var/log/http 日 志文 件 位 置 
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如 果 要 获得 最 新 的 Apache Server 软件 包 ， 可 到 http://httpd.apache.org 下 载 最 新 的 版 
本 。 安 装 新 版 的 Apache Server 时 ， 其 默认 的 安装 路 径 与 Red Hat 的 自 带 版 本 的 安装 默认 路 
径 不 同 ， 一 般 安 装 在 srlocalapache 目录 下 ， 再 行 安装 时 要 注意 安装 好 后 可 以 使 用 如 下 命 
令 来 查看 Apache 的 一 些 安装 信息 。 


[root@localhost ~]# httpd -C 
httpd: option requires an argument -- C 
Usage: httpd [-D name] [-d directory] [-f file] 
[-C "directive"] [-c "directive"] 
[-k start1restart1graceful1stop] 
[wh sl 
Options:// (以 下 列 出 了 apachect1l (查看 Apache 安装 信息 的 命令 ) 的 一 些 参 数 ) 


-D name : define a name for use in <IfDefine name> directives 
-d directory : specify an alternate initial ServerRoot 
=-E file : specify an alternate ServerConfigFile 
-C "directive" : process directive before reading config files 
-C "directive" : process directive after reading config files 
-e level : Show startup errors of level (see LogLevel) 
-E file : log startup errors to file 
居于 : show Version number 
-V : show compile settings 
三 : list available command line options (this page) 
= : list compiled in modules 
= : list available configuration directives 
-t -D DUMP VHOSTS : show parsed settings (currently only vhost settings) 
3 : a synonym for -t -D DUMP VHOSTS 
SE : run syntax check for config files 
[root@localhost ~]# httpd -t // (表明 Apache 语法 正确 ) 
Syntax OK 
[root@localhost ~]# httpd -V // (查看 Apache 编译 配置 参数 ) 


Server Version: Apache/2.0.52 

Server built: May 24 2006 11:45:10 
Server's Module Magic Number: 20020903:9 
Architecture: 32-bit 

Server compiled with.... 

-D APACHE MPM DIR="server/mpm/prefork" 
-D APR_HAS SENDFILE 

-D APR HAS MMAP 

-D APR_ HAVE IPV6 (IPv4-mapped addresses enabled) 
-D APR USE SYSVSEM SERIALIZE 

-D APR USE PTHREAD SERIALIZE 

-D SINGLE LISTEN UNSERIALIZED ACCEPT 

-D APR_HAS OTHER CHILD 

-D AP HAVE RELIABLE PIPED LOGS 

-D HTTPD ROOT="/etc/httpd™" 
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-D SUEXEC BIN="/usr/sbin/suexec" 
-D DEFAULT PIDLOG="l0ogs/httpd.pid" 
-D DEFAULT SCOREBOARD="logs/apache runtime status" 
-D DEFAULT LOCKFILE="logs/accept.1lock"™ 
-D DEFAULT ERRORLOG="1ogs/error log" 
-D AP TYPES CONFIG FILE="conf/mime.types" 
-D SERVER CONFIG FILE="conf/httpd.conf™ 
[root@localhost ~]# httpd -1 
Compiled in modules: // 是 Apache 编译 模块 
Core.c 
prefork.c 
http core.c 
mod so.c 
[root@localhost ~]# 


12.3 httpd.conf 文件 详解 及 相关 配置 


由 查看 的 编译 参数 可 知 ，httpd 的 配置 文件 是 /etc/httpd/conf/httpd.conf， 执 行 如 下 操作 
步骤 可 以 查看 Apache 的 默认 配置 。 


// 查 看 配置 文件 

[root@localhost ~]# grep -v "#" /etc/httpd/conf/httpd.conf 
// 当 服务 器 响应 主机 头 (header) 信息 时 显示 Apache 的 版 本 和 操作 系统 名 称 
ServerTokens OS 

// 设 置 服务 器 的 根 目录 

ServerRoot "/etc/httpd" 

// 设 置 运行 Apache 时 使 用 PidFile 的 路 径 

PidFile run/httpd.pid 

// 如 果 120 秒 没有 收 到 或 送出 任何 数据 ， 就 切断 该 连接 

Timeout 120 

// 不 使 用 保持 连接 的 功能 ， 即 客户 一 次 请 求 连接 只 能 响应 一 个 文件 ， 建 议 把 此 参数 设置 为 on， 
// 即 允许 使 用 保持 连接 的 功能 

KeepAlive Off 

// 使 用 保持 连接 功能 时 ， 设 置 客户 一 次 请 求 连接 能 响应 文件 的 最 大 上 限 
MaxKeepAliveRequests 100 

// 在 使 用 保持 连接 功能 时 ， 两 个 相 邻 连接 的 时 间 间 隔 超过 15 秒 ， 就 切断 连接 
KeepAliveTimeout 15 

// 设 置 使 用 prefork MPM 运行 方式 的 参数 ， 此 运行 方式 是 Red Hat 的 默认 方式 
<IfModule prefork.c> 

// 设 置 服务 器 启动 时 运行 的 进程 数 

Startservers 8 

//Apache 在 运行 时 会 根据 负载 的 轻重 自动 调整 空闲 子 进程 的 数目 ， 若 存在 低 于 5 个 空闲 子 进程 ， 
// 就 创建 一 人 

MinspareServers 


// 若 多 于 20 (默认 值 ) ， 训 表 示 空 间 的 术 多 了 ， 将 减少 到 20 


Linux 操作 与 服务 器 配置 实用 教程 


MaxSpareServers 20 

// 同 时 连接 的 数量 太 多 时 ， 会 降低 系统 的 访问 性 能 ， 因 此 可 设置 此 数值 来 限制 同时 连接 的 数量 
ServerLimit 256 

MaxClients 256 

// 当 浏览 器 连接 网 页 后 ， 限 制 每 个 子 进程 在 终止 前 所 有 能 提供 的 请 求 数量 
MaxRequestsPerChild 4000 

</IfModule> 

// 设 置 使 用 worker MPM 运行 方式 


<IfModule worker.c> 


StartSerVers 之 
MaxClients 150 
MinspareThreads 25 
MaxSpareThreads 了 8 


ThreadsPerChild 25 

MaxRequestsPerChild 0 

</IfModule> 

// 设 置 服务 器 监听 端口 

Listen 80 

// 动 态 加 载 模块 (DSO 

LoadModule access module modules/mod access.so 
LoadModule auth module modules/mod auth.so 
LoadModule auth anon module modules/mod auth anon.so 
LoadModule auth dbm module modules/mod auth dbm.so 
LoadModule auth digest module modules/mod auth digest.so 
LoadModule ldap module modules/mod ldap.so 
LoadModule auth ldap module modules/mod auth ldap.so 


// 将 /etc/httpd/conf.d 目录 下 的 所 有 以 conf 结尾 的 配置 文件 包含 进来 
Include conf.d/*.conf 
// 设 置 运行 Apache 服务 器 的 用 户 和 组 
User apache 
Group apache 
// 设 置 Apache 服务 器 管理 员 的 E-mail 地 址 
ServerAdmin root@localhost 
// 若 打开 此 项 ， 将 使 用 www.test.cc prot 80 作为 主机 名 
UseCanonicalName Off 
// 设 置 根 文档 路 径 
DocumentRoot "/var/www/html" 
// 设 置 Apache 服务 器 根 的 访问 权限 
<Directory /> 
// 允 许 链接 跟随 ， 访 问 不 再 本 目录 下 的 文件 
Options FollowSymLinks 
// 禁 止 读 取 .htaccess 配置 文件 的 内 容 
AllowOverride None 
</Directory> 
// 设 置 根 文档 目录 的 访问 权限 


<Directory "/var/www/html"> 
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// Indexes: 当 在 目录 中 找 不 到 DirectoryIndex 列表 中 指定 的 文件 ， 就 生成 当前 目录 的 文件 
// 列 表 
// FollowSymLinks :允许 符号 链接 跟随 ， 访 问 不 在 本 目录 下 的 文件 
Options Indexes FollowSymLinks 
// 禁 止 读 取 .htaccess 配置 文件 的 内 容 
AllowOverride None 
// 指 定 先 执行 allow (允许 ) 访问 规则 ， 在 执行 deny (拒绝 ) 访问 规则 
Order allow,deny 
// 设 置 allow 访问 规则 ， 人 允许 所 有 连接 
Allow from all 
</Directory> 
// 不 允许 没 用 户 的 服务 器 配置 
<IfModule mod userdir.c> 
UserDir disable 


</IfModule> 
// 当 访问 服务 器 时 ， 依 次 查找 页 面 index.html、index.html .var 
DirectoryIndex index.html index.html.var 
// 指 定 保护 目录 配置 文件 的 名 称 
AccessFileName .htaccess 
// 拒 绝 访 问 以 .ht 开头 的 文件 ， 即 保证 .htaccess 不 被 访问 
<Files ~ "^\.ht"> 
Order allow,deny 
Deny from all 
</Files> 
// 指 定 负责 处 理 MIME 对 应 格式 的 配置 文件 的 存放 位 置 
TypesConfig /etc/mime.types 
// 指 定 默认 的 MIME 文件 类 型 为 纯 文本 或 HTML 文件 
DefaultType text/plain 
// 当 mod_mime_magic.c 模块 被 加 载 时 ， 指 定 magic 信息 码 配置 文件 的 存在 位 置 
<IfModule mod mime _ magic.c> 
MIMEMagicFile conf/magic 
</IfModule> 
// 只 记录 连接 Apache 服务 器 的 IP 地 址 ， 而 不 记录 主机 名 
HostnameLookups Off 
// 指 定 错误 日 志 存放 位 置 
ErrorLog logs/error log 
// 定 义 记录 的 错误 信息 的 详细 等 级 为 warn 级 别 
LogLevel warn 
// 定 义 4 种 记录 日 志 的 格式 
LogFormat "%h %] %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" 
combined 
LogFormat "“%h %1 %u $%t \"%r\" %>s $b" common 
LogFormat "%{Referer}i -> %U" referer 
LogFormat "%{User-agent}i" agent 
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// 指 定 访问 日 志 的 记录 格式 为 combined (混合 型 ) ， 并 指定 访问 日 志 的 存放 位 置 
CustomLog logs/access log combined 
// 设 置 Apache 自己 产生 的 页 面 中 使 用 Apache 服务 器 版 本 的 签名 
ServerSignature On 
// 设 置 内 容 协商 目录 的 访问 别名 
Alias /icons/ "/var/www/icons/™ 
// 设 置 /var/www/icons 目录 的 访问 权限 
<Directory "/var/www/icons"> 
// MultiViews 使 用 内 容 协商 功能 决定 被 发 送 的 网 页 的 性 质 
Options Indexes MultiViews 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 
// 指 定 DAV 加 锁 数 据 库 文件 的 存放 位 置 
<IfModule mod dav fs.c> 
DRVLockDB /var/lib/dav/lockdb 
</IfModule> 
// 设 置 cGI 目录 的 访问 别名 
ScriptRlias /cgi-bin/ "/var/www/cgi-bin/" 
// 设 置 cGI 目录 的 访问 权限 
<Directory "/var/www/cgi-bin"> 
AllowOverride None 
Options None 
Order allow,deny 
Allow from all 
</Directory> 
// FancyIndexing :对 每 种 类 型 的 文件 前 加 上 一 个 小 图 标 以 示 区 别 
// VersionSort: 对 同一 个 软件 的 多 个 版 本 进行 排序 
// NameWidth=*: 文 件 名 子 段 自动 适应 当前 目录 下 的 最 长 文件 名 
IndexOptions FancyIndexing VersionSort NameWidth=* 
// 当 使 用 IndexOptions FancyIndexing 之 后 ， 配 置 下 面 的 参数 
// 用 于 告知 服务 器 在 遇 到 不 同 的 文件 类 型 或 扩展 名 时 采用 MIME 编码 格式 
// 辨 别 文件 类 型 并 显示 相应 的 图 标 
AddIconByEncoding (CMP,/icons/compressed.gif) x-compress x-gzip 


AddIconByType (TXT, /icons/text.gif) text/* 
AddIconByType (IMG, /icons/image2.gif) image/* 
AddIconByType (SND, /icons/sound2.gif) audio/* 
AddIconByType (VID,/icons/movie.gif) video/* 

// 当 使 用 IndexOptions FancyIndexing 之 后 ， 配 置 下 面 的 参数 
// 用 于 告知 服务 器 在 遇 到 不 同 的 文件 类 型 或 扩展 名 时 采用 所 指定 的 格式 
// 状 别 文件 类 型 并 显示 相应 的 图 标 

AddIcon /icons/binary.gif .bin .exe 

RddIcon /icons/binhex.gif .hqx 

RddIcon /icons/tar.gif .tar 

AddIcon /icons/world2.gif .wrl .wrl.gz .vrml .vrm .iv 
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AddIcon /icons/compressed.gif .2 .z -tgz .gz .zip 


AddIcon /icons/blank.gif ^^BLANKICON^^ 
// 当 使 用 IndexOptions FancyIndexing 之 后 ， 且 无 法 识别 文件 类 型 时 ， 显 示 此 处 定义 的 图 标 


DefaultIcon /icons/unknown.gif 


// 当 服务 器 自动 列 出 目录 列表 时 ， 在 所 生成 的 页 面 之 后 显示 README .html 的 内 容 
ReadmeName RERADME .htm] 

// 当 服务 器 自动 列 出 目录 列表 时 ， 在 所 生成 的 页 面 之 前 显示 HEADER.html 内 容 
HeaderName HEADER.html 


AddLanguage ca .ca 

AddLanguage cs .cz .cs 

// 设 置 网 页 内 容 的 语言 种 类 (浏览 器 要 启动 内 容 协商 为 中 文 网 页 ， 此 项 无 实际 意义 ) 
AddLanguage da .dk 

AddLanguage de .de 

AddLanguage el .el 

AddLanguage en .en 

AddLanguage eo .eo 

AddLanguage es .es 

AddLanguage et .et 

AddLanguage fr .fr 

AddLanguage he .he 

AddLanguage hr .hr 

AddLanguage it .it 

AddLanguage ja .ja 

AddLanguage ko .ko 

AddLanguage ltz .ltz 

AddLanguage nl .nl 

AddLanguage nn .nn 

AddLanguage no .no 

AddLanguage pl .po 

AddLanguage pt .pt 

AddLanguage pt-BR .pt-br 
AddLanguage ru .ru 

AddLanguage sv .sv 

AddLanguage zh-CN .zh-cn 
AddLanguage zh-TW .zh-tw 

// 启 动 内 容 协 商 时 ， 是 指 语言 的 先后 顺序 
LanguagePriority en ca cs da de el eo es et fr he hr it ja ko ltz nl nn 
no pl pt pt-BR ru sv zh-CN zh-TW 


ForceLanguagePriority Prefer Fallback 


AddDefaultCharset UTF-8 
// 设 置 各 种 字符 集 
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AddCharset ISO-8859-1 .iso8859-1 .latinl 
AddCharset ISO-8859-2 .iso8859-2 .latin2 .cen 
Rddcharset ISO-8859-3 .iso8859-3 .latin3 
Rddcharset ISO-8859-4 .iso8859-4 .latin4 
AddCharset ISO-8859-5 .iso8859-5 .latin5 .cyr .iso-ru 
AddCharset ISO-8859-6 .iso8859-6 .latin6 .arb 
Rddcharset ISO-8859-7 .iso8859-7 .latin7 .grk 
Rddcharset ISO-8859-8 .iso8859-8 .latin8 .heb 
AddCharset ISO-8859-9 .iso8859-9 .latin9 .trk 
AddCharset ISO-2022-JP .iso2022-jp .jis 
AddCharset ISO-2022-KR .iso2022-kr .kis 
AddCharset ISO-2022-CN .iso2022-cn .cis 


AddCharset Big5 -Big5 .big5 
AddCharset WINDOWS-1251 .cp-1251 .win-1251 
AddCharset CP866 .cp866 

Rddcharset KoOI8-r .koi8- .koi8-ru 
Rddcharset KOI8-ru .koi8-uk .ua 


AddCharset ISO-10646-UCS-2 .ucs2 
Rddcharset ISO-10646-UCS-4 .ucs4 


Rddcharset UTF-8 .utf8 
AddCharset GB2312 .gb2312 .gb 
Rddcharset utf-7 .utf7 
Rddcharset utf-8 -utf8 
AddCharset big5 :Dip =D 
Rddcharset EUC-TW -euc-tw 
AddCharset EUC-JP .euc-jp 
Rddcharset EUC-KR -euc-kr 


Rddcharset shift jis .Sjis 


// 设 置 在 线 浏览 用 户 可 以 实时 解压 缩 .2、.gz、.tar 类 型 文件 ， 并 非 所 有 浏览 器 都 支持 
AddType application/x-compress .2Z 
AddType application/x-gzip .gz .tgz 


// 设 置 apache 对 某 些 扩展 名 的 处 理 方式 
AddHandler imap-file map 


AddHandler type-map var 


AddType text/htm1l .shtml 

// 使 用 过 滤器 执行 SSI 
AddoutputFilter INCLUDES .shtml 
// 设 置 错误 页 面目 录 的 别名 

Alias /error/ "/var/www/error/™" 


// 设 置 /var/www/error 目录 的 访问 权限 
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<IfModule mod negotiation.c> 
<IfModule mod include.c> 
<Directory "/var/Wwww/error"> 
AllowOverride None 
Options IncludesNoExec 
AddoutputFilter Includes html 
AddHandler type-map var 
Order allow,deny 
Allow from all 
LanguagePriority en es de fr 
ForceLanguagePriority Prefer Fallback 
</Directory> 


</IfModule> 

</IfModule> 

// 设 置 区 浏览 器 匹配 

BrowserMatch "Mozilla/2" nokeepalive 

BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force-response-1.0 
BrowserMatch "RealPlayer 4\.0" force-response-1.0 

BrowserMatch "Java/l\.0" force-response-1.0 

BrowserMatch "JDK/1\.0" force-response-1.0 


BrowserMatch "Microsoft Data Access Internet Publishing Provider" 

redirect-carefully 

BrowserMatch "^WebDrive" redirect-carefully 

BrowserMatch "^WebDAVFS/1.[012]" redirect-carefully 

BrowserMatch "^gnome-vfs" redirect-carefully 

下 面 将 Apache 的 默认 配置 信息 汇总 如 下 。 

配置 文件 : /etc/httpd/conf/httpd.conf。 

服务 器 的 根 目 录 : /etc/httpd。 

根 文档 目录 : /var/www/html。 

访问 日 志文 件 : /var/log/httpd/access_log。 

错误 日 志 : /var/log/httpd/error_log。 

运行 Apache 的 用 户 : apache。 

运行 Apache 的 组 : apache。 

端口 : 80。 

模块 存放 路 径 : /usr/lib/httpd/modules。 

Prefork MPM: 运行 方式 的 参数 : StartServer 8、MinSpareServer 5、MaxSpareServer 20、 
MaxClients 256、MaxRequestsPerChild 4000。 
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12.4 配置 Apache 


配置 Apache 服务 器 的 运行 参数 ， 是 通过 编辑 Apache 的 主 配 置 文件 httpd.conf 来 实现 
的 。 该 文件 的 位 置 随 着 安装 方式 的 不 同 而 不 同 。 如 果 采 用 RPM 安装 方式 安装 ， 该 文件 存 
放 在 /etc/httpd/conf 目录 下 ; 如果 使 用 其 他 安装 方式 安装 ， 建 议 使 用 find 命令 对 主 配 置 文件 
进行 查找 ， 一 般 存放 在 Apache 安装 目录 的 conf 子 目录 下 。 该 主 配 置 文件 为 文本 文件 ， 可 
以 使 用 包括 vi 在 内 的 任 一 文本 编辑 工具 对 其 进行 编辑 修改 。 


12.4.1 基本 配置 


默认 配置 为 用 户 提供 了 一 个 良好 的 模板 ， 基 本 的 配置 几乎 不 需要 进行 修改 ， 但 用 户 应 
该 考虑 修改 或 添加 如 下 基本 配置 指令 。 

(1) KeepAlive: 将 KeepAlive 的 值 设置 为 On， 以 便 提高 访问 性 能 。 

(2) MasClients: 根据 服务 容量 修改 此 值 。 

(3) ServerAdmin: 将 ServerAdmin 的 值 设 为 Apache 服务 器 管理 员 的 E-mail 地 址 。 

(4) ServerName: 首先 删除 ServerName 前 的 注释 符号 “#”， 然 后 设置 服务 器 的 FQDN。 

(5) DirectoryIndex : 在 此 指令 后 添加 其 他 的 默认 主页 文件 名 。 例 如 ， 可 以 添加 
index.htm 等 。 

(6) IndexOptions: 可 以 在 此 指令 后 添加 FoldersFirst， 表 示 让 目录 列 在 前 面 (类 似 于 资 
源 管理 器 )。 


12.4.2 “分割 配置 任务 


Apache 服务 器 的 配置 信息 除了 存放 在 主 配 置 文件 httpd.conf 外 ， 还 存放 于 Include 指令 
指定 的 相关 配置 文件 和 .htaccess 文件 中 。 


1. 使 用 Include 指令 


可 以 使 用 Include 指令 将 主 配 置 文件 进行 分 割 。 例 如 ， 可 以 将 所 有 与 虚拟 主机 配置 相 
关 的 配置 单独 保存 为 一 个 配置 文件 ， 然 后 在 主 配置 文件 中 将 其 包含 进来 。 


2. htaccess 文件 


可 以 使 用 .htaccess 文件 改变 主 配置 文件 中 的 配置 ， 但 是 它 只 能 设置 对 目录 的 访问 控 
制 ， 这 个 目录 就 是 .htaccess 文件 存放 的 目录 。 与 使 用 Include 指令 不 同 ，.htaccess 文件 中 的 
配置 可 以 覆盖 主 配置 文件 中 的 配置 ， 而 使 用 Include 指令 只 是 将 自 配置 文件 简单 地 包含 进 
主 配置 文件 中 。 

(1) 有 如 下 两 种 情况 需要 使 用 .htaccess 文件 。 

@ 在 多 个 用 户 之 问 分 割 配置 。 

@ ”在 不 重启 服务 器 的 情况 下 改变 服务 器 配置 。 
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锐 注意 : ”在 可 能 的 情况 下 尽 可 能 避免 使 用 .htaccess 文件 ， 因 为 使 用 htaccess 文件 会 降 
低 服务 器 的 运行 性 能 。 
(2) 要 使 用 htaccess 文件 ， 必 须 经 过 两 个 配置 步骤 : 首先 在 主 配置 文件 中 启用 并 控制 
对 .htaccess 文件 的 使 用 ， 然 后 在 需要 覆盖 主 配 置 文件 的 目录 下 生成 htaccess 文件 。 
3. 启用 并 控制 使 用 .htaccess 文件 
(1) 设置 文件 名 ， 必 须 保证 在 主 配置 文件 中 包含 如 下 配置 语句 。 


AccessFileNmae.htaccess 
Eile \>htaccess"> 
Order allow,heny 
Deny form all 
</Files> 


(2) 在 .htaccess 文件 中 可 以 使 用 指令 组 ， 需 要 在 主 配置 文件 中 使 用 AllowOverride 指 
令 。 表 12-2 列 出 了 可 以 在 AllowOverride 指令 所 使 用 的 指令 组 。 


表 12-2 AllowOverride 指令 所 使 用 的 指令 


指令 组 可 用 指令 说 明 
eg le、AuthBDMUserFile、AuthGroupFileAuthiName、 | 进行 认证 、 授 权 以 及 安 
WOME | AuthType、AuthUserFile、Require 全 的 相关 指令 
FileInfe DefaultType 、EmrorDocument、ForceType 、LanguagePriority、 | 控制 文件 处 理 方式 的 相 
bi Sethandler、SetInputFilter、OutputFile 关 指 令 
Indexes DefaultIcon 、DirectoryIndex 、FancyIndexing 、headerName 、 poh 
Indexignore、IndexOptions、ReadmeName 
Limit Allow、 Deny、 Order dll 
Options Options. XBitHack A 2 ee 文件 
Al 全 部 指令 组 可 以 使 用 以 上 所 有 指令 
None 禁止 使 用 所 有 指令 禁止 处 理 .htaccess 文件 


4. 生成 .htaccess 文件 

当 在 主 配 置 文件 中 配置 了 对 .htaccess 文件 的 启用 和 控制 之 后 ， 接 下 来 就 可 以 在 需要 覆 
盖 主 配置 文件 的 目录 下 生成 .htaccess 文件 。.htaccess 文件 中 可 以 使 用 的 配置 指令 ， 取 决 于 
主 配 置 文件 中 AllowOverride 指令 的 设置 。 

5. 使 用 .htaccess 文件 举例 

下 面 举 一 个 简单 的 例子 说 明 .htaccess 文件 的 使 用 。 


// 首 先 在 文档 根 目录 下 生成 一 个 test 目录 ， 并 创建 测试 文件 
Cd /var/www/html 
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Mkdir test 

Cd test 

Touch test 

// 修 改 配置 前 ， 在 客户 端 用 浏览 器 查看 的 结果 如 图 12-4 所 示 

// 修 改 主 配置 文件 

Vi /etc/httpd/conf/httpd.conf 

// 添 加 如 下 配置 语句 

<Directory "/var/www/html/test"> 
AllowOverride Options 

</Directory > 

// 重 新 启动 httpd 

service httpd restart 

// 在 /var/www/html/test 目录 下 生成 .htaccess 文件 

vi /var/www/html/test.htaccess 

// 添 加 如 下 配置 语句 

options -Indexes 

// 在 客户 端 浏览 器 查看 结果 如 图 12-5 所 示 

// 通 过 查看 配置 结果 ， 可 以 证 明 .htaccess 已 经 生效 ， 即 对 test 目录 的 访问 不 生成 文件 列表 


图 12-4 配置 htaccess 之 前 查看 结果 图 12-5 配置 .htaccess 之 后 查看 结果 
在 上 面 的 例子 中 是 先 启动 了 httpd， 然 后 再 生成 .htaccess 文件 。 也 就 是 说 对 .htaccess 文 
件 的 修改 不 用 重启 服务 器 。 
12.4.3 ”访问 控制 


Apache 的 server-info 和 server-staus 可 在 客户 端的 正 浏览 器 上 查看 Apache 的 服务 器 
配置 信息 和 Apache 的 访问 信息 ， 但 是 这 两 个 功能 只 有 管理 员 才能 访问 ， 那 就 需要 设置 访 
问 控制 ， 控 制 其 他 用 户 访问 。 
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1. 访问 控制 

Apache 使 用 下 面 的 3 个 指令 配置 访问 控制 。 

Order: 用 于 指定 执行 允许 访问 规则 和 执行 拒绝 访问 规则 的 先后 顺序 。 
Deny: 定义 拒绝 访问 列表 。 

Allow: 定义 允许 访问 列表 。 


(1) Order 指令 有 两 种 形式 。 
Order Allow，Deny: 在 执行 拒绝 访问 规则 之 前 先 执行 允许 访问 规则 ， 默 认 情况 下 将 会 
拒绝 所 有 没有 明确 被 允许 的 客户 。 


Order Deny，Allow: 在 执行 允许 访问 规则 之 前 先 执行 拒绝 访问 规则 ， 默 认 情 况 下 将 会 
允许 所 有 没有 明确 被 拒绝 的 客户 。 
还 注意 : ”在 书写 Allow、Deny 和 Deny、Allow 时 ， 中 间 不 能 添加 空格 。 


(2) Deny 和 Allow。Deny 和 Allow 指令 的 后 面 需要 跟 访问 列表 ， 访 问 列表 可 以 使 用 如 
下 几 种 形式 。 

Allow: 表示 所 有 客户 。 

域名 : 表示 域内 的 所 有 客户 ， 如 huanyang.net。 

了 P 地址: 可 以 指定 完整 的 下 地址 和 部 分 他 地址 。 

网 络 / 子 网 掩 码 : 如 192.168.0.0/255.255.255.0。 

CIDR 规范 : 如 192.168.0.0/24。 


2. 访问 控制 举例 


// 修 改 配置 文件 

Vi /etc/httpd/conf/httpd.conf 
// 将 下 面 行 的 # 去 掉 

<Location /server-info> 

// 由 mod_info 模块 生成 服务 器 配置 信息 
SetHandler server-info 

// 先 执行 拒绝 指令 再 执行 允许 指令 

Order deny,allow 

// 拒 绝 所 有 客户 访问 ， 只 允许 192.168.0.11 访问 
Deny from all 

Allow from 192.168.0.11 
</Location> 


虽然 上 面 的 例子 访问 控制 实在 Location 容器 中 设置 的 (如 图 12-6 所 示 )， 但 是 这 种 方法 
也 适用 于 其 他 容器 ， 如 Directory 容器 和 File 容器 (如 图 12-7 所 示 )。 
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图 12-6 在 被 允许 的 主机 上 访问 图 12-7 在 其 他 主机 上 访问 


12.4.4 用 户 认证 设置 


Web 服务 器 也 能 够 在 用 户 或 每 个 组 基础 上 ， 通 过 不 同 层次 的 验证 来 控制 对 Web 站 点 
上 的 特殊 目录 进行 访问 ， 可 以 将 访问 限制 到 特殊 用 户 并 需要 密码 ， 或 者 扩展 到 允许 用 户 组 
进行 访问 ， 也 可 以 为 用 户 组 分 配 密码 或 建立 一 个 匿名 用 户 来 访问 。 像 FTP 一 样 ， 用 户 认证 
的 好 处 是 起 到 一 个 屏障 的 作用 ， 控 制 着 所 有 登录 并 检查 访问 用 户 的 合法 性 ， 其 目的 是 仅 让 
合法 的 用 户 以 合法 的 权限 访问 网 络 资源 。 

如 果 要 把 这 些 验证 指令 应 用 到 某 一 个 特定 的 目录 上 ， 可 以 把 这 些 指 令 放置 在 一 个 
Directory 块 或 者 是 .htaccess 文档 中 ， 也 可 以 使 用 指令 require 来 决定 什么 样 的 用 户 可 以 访问 
这 个 目录 ， 或 者 列 出 特殊 用 户 或 组 。 指 令 AuthName 给 用 户 指定 授权 范围 ， 以 及 标识 由 该 
验证 过 程 访 问 的 特殊 资源 的 名 称 。 指 令 AuthType 可 以 用 来 指定 验证 类 型 ， 如 基本 信息 或 
者 摘要 。 指 令 require 也 需要 AuthType、AuthName 及 指定 的 组 和 用 户 验证 文件 的 位 置 。 

下 面 举例 来 说 明 验 证 用 户 。 

(1) 编辑 主 配 置 文件 /etc/httpd/conf/httpd.conf。 

(2) 添加 如 下 行 。 

<Directory "/var/www/html/test"> 

// 不 使 用 .htaccess 
AllowOverride None 

// 指 定 使 用 基本 的 认证 方式 
AuthType Basic 

// 名 称 
AuthName test 

// 指 定 认 证 口令 文件 存放 的 位 置 

AuthUserFile /var/www/passwd/test 
// 授 权 给 认证 口令 文件 中 的 所 有 用 户 

require valid-user 
</Directory> 
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(3) 创建 认证 口令 文件 ， 并 添加 两 个 用 户 。 


mkdir /var/www/passwd 
cd /var/www/passwd 
[root@localhost passwd]# htpasswd -c test dai 
new password: 
re-type new password: 
adding password for user dai 
[root@localhost passwd]# htpasswd -c test tom 
new password: 
re-type new password: 
adding password for user tom 


(4) 重新 启动 httpd。 


service httpd restart 


// 客 户 端 使 用 浏览 器 查看 ， 结 果 如 图 12-8 和 图 12-9 所 示 
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12-8 用 户 认证 Web 访问 12-9 通过 用 户 认证 后 的 显示 


12.4.5 WebDAV 


1. WebDAYV 简介 


DAYV 是 分 布 式 授 权 和 版 本 控制 的 缩写 ， 而 WebDAV 是 基于 Web 的 分 布 式 授权 和 版 本 
控制 。 传 统 情况 下 使 用 FTP 和 NFS 对 于 站 点 内 容 进行 上 传 或 更 新 ， 但 是 有 许多 人 认为 
FTP 和 NFS 是 不 安全 的 协议 ， 尽 量 不 要 再 运行 Web 服务 器 的 计算 机 上 运行 FTP 和 NFS 服 
务 器 ， 然 而 不 运行 这 两 种 服务 器 ， 用 户 就 无 法 对 自己 的 站 点 内 容 进 行 维护 。WebDAV 提供 
了 一 种 新 的 基于 HTTP 协议 的 解决 方案 ，WebDAYV 的 官方 网 站 是 http://www.webdav.org。 

当 对 Apacher 配置 了 WebDAYV 支持 后 ， 用 户 就 可 以 在 支持 WebDAYV 的 客户 端 上 对 站 
点 内 容 进 行 上 传 和 维护 。 
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2. 配置 WebDAV 


在 Apache 中 默认 包含 了 支持 WebDAYV 的 模块 mod_dav， 配 置 过 程 如 下 。 


// 修 改 配置 文件 
Vi /etc/httpd/conf/httpd.conf 
// 添 加 如 下 行 
<Directory "/var/www/html"> 
Options Indexes FollowSymLinks 
AllowOverride None 
// 启 动 WebDAV 
Dav On 
// 配 置 认证 指令 
AuthType Basic 
AuthName "Admin" 
AuthUserFile /var/www/passwd/test 
Require user dai 
// 配 置 条 件 授权 ， 即 非 浏览 的 HTTP 请 求 方式 
<LimitExcept> 
require group admin 
</LimitExcept> 
</Directory> 
// 重 启 httpd 
service httpd restart 
// 将 服务 器 根 文档 目录 的 属性 设置 为 apache 


chown -R apache.apache /var/www/html 
和 注意 : ”必须 将 WebDAV 所 有 管理 的 目录 属性 设置 为 apache， 以 便 apache 用 户 运行 
的 Apache 子 进程 能 对 目录 内 容 进 行 更 新 。 
客户 端 配置 过 程 (以 Windows XP 为 例 ) 如 下 。 
(1) 双击 “网 上 邻居 ”图 标 添加 网 上 邻居 ， 如 图 12-10 所 示 。 
(2) 输入 网 上 邻居 的 HTTP 协议 的 URL 路 径 或 是 FQDN 之 后 单 击 “ 下 一 步 ”按钮 ， 如 
图 12-11 所 示 。 


ET 图 


CI 一 
图 12-10 WebDAYV 客户 端 配置 过 程 1 图 12-11 WebDAYV 客户 端 配置 过 程 2 
G) 输入 密码 后 单 击 “ 确 定 ”按钮 进入 如 图 12-12 所 示 的 界面 ， 更 改 完 网 上 邻居 名 称 
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后 就 可 以 打开 如 图 12-13 所 示 的 窗口 ， 到 此 WebDAYV 配置 完成 。 
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12-12 ”WebDAV 客户 端 配置 过 程 3 12-13 ”WebDAV 客户 端 配置 过 程 4 
(4) 配置 完成 后 双击 即 可 使 用 ， 如 图 12-14 所 示 。 


12-14 ”WebDAV 客户 端 配置 过 程 5 


12.5 ”虚拟 主机 的 配置 


虚拟 主机 支持 由 一 个 Apache 的 服务 器 设置 多 个 Web 站 点 ， 这 样 一 个 服务 器 可 以 作为 
多 个 服务 器 使 用 ， 在 外 部 的 用 户 看 来 每 一 个 服务 器 都 是 独立 的 。 利 用 虚拟 主机 技术 可 以 把 
一 台 真正 的 主机 分 成 多 个 “虚拟 ”的 主机 ， 从 而 实现 多 用 户 对 硬件 资源 、 网 络 资源 的 共 
享 ， 大 幅度 降低 用 户 建设 网 站 的 成 本 。 

Apache 支持 基于 IP 地 址 和 基于 名 称 的 虚拟 主机 。 基 于 卫 地 址 的 虚拟 主机 使 用 有 效 
的 并 且 已 经 注册 的 P 地 址 ， 而 基于 名 称 的 虚拟 主机 使 用 完整 的 域名 地 址 ， 这 些 域名 地 址 
是 由 来 自 请 求 浏览 器 的 Host 标题 提供 的 ， 服 务 器 可 以 单独 在 域名 的 基础 上 使 用 正确 的 虚 
拟 主机 。 


12.5.1 基于 IP 地 址 的 虚拟 主机 配置 


在 使 用 IP 地 址 虚拟 主机 的 方案 中 ， 服 务 器 必须 为 每 一 个 虚拟 主机 指定 一 个 IP 地 址 和 
端口 号 ， 用 户 所 使 用 的 他 地 址 可 以 用 来 把 请 求 发 送 到 系统 ， 网 络 管理 员 也 可 以 设置 用 户 的 
机 器 支持 多 个 人 P 地 址 ， 用 户 的 机 器 对 于 每 个 IP 地 址 应 该 具有 独立 的 物理 网 络 连接 或 配置 
一 种 特殊 的 连接 ， 可 以 同时 监听 多 个 人 P 地 址 ， 这 样 任何 一 个 王 地址 均 可 以 访问 系统 。 

用 户 配置 Apache 使 它 为 每 个 虚拟 主机 运行 一 个 独立 的 守护 进程 ， 独 立地 监听 每 一 个 
JP 地 址 ， 用 户 也 可 以 运行 单一 进程 来 监听 所 有 虚拟 主机 的 请 求 。 要 设置 单一 的 守护 进程 来 
管理 所 有 的 虚拟 主机 ， 可 以 使 用 VirtualHost 指令 ; 如果 要 为 一 台 主 机 设立 不 同 的 域名 ， 则 
需要 使 用 Listen 和 BindAddress 指令 。 

每 个 虚拟 主机 必须 设置 VirtualHost 指令 块 ， 可 以 放置 访问 主机 的 指令 。 用 户 可 以 使 用 
ServerAdmin、ServerName、DocumentRoot 和 TransferLog 指令 为 这 个 主机 制定 特定 值 ， 也 
可 以 使 用 VirtualHost 块 中 的 ServerType、BindAddess 、Startservers 、MaxSpareServer、 
MinSpareServer 、MaxReguestsPerc hild 、Listen 、PidFile 、TypesConfig 、ServerRoot 和 
NameVirtualHost 之 外 的 任何 命令 。 

基于 IP 地 址 的 虚拟 主机 配置 方法 有 两 种 : 一 种 是 P 地 址 相同 ， 但 是 端口 号 不 同 ; 另 
一 种 是 端口 号 相同 ( 即 默认 端口 号 )， 但 是 IP 地 址 不 同 。 基 于 人 P 的 虚拟 主机 配置 方法 很 简 
单 ， 通 过 修改 httpd.conf 文件 中 的 相关 配置 即 可 。 下 面具 体 介 绍 这 几 种 虚拟 主机 配置 方 
法 。( 还 有 一 种 是 现在 使 用 最 广泛 的 ， 就 是 一 个 他 地 址 对 应 多 个 域名 。) 

1. IP 地址 相同 但 是 端口 号 不 同 的 虚拟 主机 配置 

如 果 用 户 只 有 一 个 卫 地 址 ， 但 是 要 架设 多 个 站 点 ， 则 推荐 使 用 这 种 方法 ， 配 置 步骤 如 下 。 

(1) 在 /etc/httpd 文件 夹 中 ， 建 立 文件 夹 vhost， 用 来 存放 虚拟 主机 的 配置 文件 。 

cd /etc/httpd 


mkdir vhost 


(2) 在 /var/www 文件 夹 中 ， 建 立 vhostl 和 vhost2 文件 夹 ， 用 来 存放 虚拟 主机 的 网 页 。 


mkdir -p /var/www/vhostl 
mkdir -p /var/www/vhost2 


(3) 修改 主 配置 文件 /etc/httpd/conf/httpd.conf， 在 配置 文件 中 添加 如 下 语句 ， 其 作用 是 
指向 虚拟 主机 的 配置 子 文件 ， 因 为 虚拟 主机 的 配置 子 文件 单独 存放 在 一 个 文件 夹 中 。 当 然 
也 可 以 直接 在 主 配 置 文件 中 进行 虚拟 主机 的 配置 。 

<Directory /> 

Options FollowSymLinks 
AllowOverride None 


</Directory> 
# Note that from this point forward you must specifically allow 


第 全 章 Web 服务 器 配置 i 


# particular features to be enabled - so if something's not working as 

# you might expect, make sure that you have specifically enabled it 

# below 

# This should be changed to whatever you set DocumentRoot to 

<Directory "/var/www/html"> 

# Possible values for the Options directive are "None", "All", 

# or any combination of: 

# Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI 

#MultiViews 

# 

Note that "MultiViews" must be named *explicitly* --- "Options All" 

doesn't give it to you 

The Options directive is both complicated and important. Please see 

http://httpd.apache.org/docs-2.0/mod/core.html#options for more information 
Options Indexes FollowSymLinks 

AllowOverride controls what directives may be placed in .htaccess 

files 


# 
# 
# 
# 


It can be "All", "None", or any combination of the keywords: 
Options FileInfo AuthConfig Limit 
AllowOverride None 
# Controls who can get stuff from this server 
Order allow,deny 
Allow from all 
</Directory> 
include /etc/httpd/vhost/*.conf 一 一 添加 该 语句 


御 秆 利和 悍 


(4) 建立 文件 /etc/httpd/vhost/vhost.conf， 并 添加 内 容 如 下 。 


#Virtual hsot Default Virtual Host 


Listen 6000 
Listen 7000 


<VirtualHost 192.168.0.25:6000> 

ServerSignature email 

DocumentRoot /var/www/vhostl 

ServerName show.test.cc 

DirectoryIndex index.php index.html index.html index.shtml 


LogLevel warn 
HostNameLookups off 
</VirtualHost> 


<VirtualHost 192.168.0.25:7000> 
ServerSignature email 
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DocumentRoot /var/www/vhost2 
ServerName show.text.cc 


DirectoryIndex index.php index-html index.html index.shtml 


LogLevel warn 
HostNameLookups off 
</VirtualHost> 


(5) 至 此 配置 基本 完 ， 成 重启 httpd 服务 即 可 ， 客 户 端 访问 结果 如 图 12-15 和 图 12-16 
所 示 。 
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图 12-15 IP 相同 端口 不 同 访问 Web 服务 1 图 12-16 “IP 相同 端口 不 同 访问 Web 服务 2 


2. 端口 号 相同 但 是 IP 地 址 不 同 的 虚拟 主机 配置 


如 果 某 个 公司 有 多 个 独立 的 人 P 地 址 可 供 使 用 ， 那 么 用 不 同 的 他 地 址 来 配置 虚拟 主机 
是 最 佳 的 选择 。 这 里 介绍 一 下 具体 的 配置 过 程 。 
(1) 在 /var/www 文件 夹 中 建立 文件 夹 ipvhost3 和 ipvhost4 用 来 存放 虚拟 主机 的 配置 文件 。 


mkdir -p /var/www/ipvhost3 
mkdir -p /var/www/ipvhost4 


(2) 上 个 例子 中 ， 在 /etc/httpd 中 建立 的 文件 夹 是 vhost， 在 其 中 建立 文件 ipvhost.conf， 
并 写 入 如 下 内 容 。 
Vi /etc/httpd/vhost/ipvhost.conf 


#Virtual hosts 
#Virtual host Default Virtual Host 


<VirtualHost 192.168.0.25:80> 

ServerSignature email 

DocumentRoot /var/www/ipvhost3 

DirectoryIndex index.php index.html intex.htm index.shtml 
LogLevel warn 

HostNameLookups off 
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</VirtualHost> 


<VirtualHost 192.168.0.220:80> 

ServerSignature email 

DocumentRoot /var/www/ipvhost4 

DirectoryIndex index.php index.html intex.htm index.shtml 
LogLevel warn 

HostNameLookups off 

</VirtualHost> 


(3) 重启 httpd 服务 器 即 可 使 用 ， 客 户 端 访问 结果 如 图 12-17 和 图 12-18 所 示 。 
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12-17 ” 端 号 相同 IP 不 同 访问 Web1 12-18 ” 端 号 相同 IP 不 同 访问 Web2 


12.5.2 ”基于 域名 的 虚拟 主机 配置 


提供 虚拟 主机 服务 的 机 器 上 只 要 设置 一 个 IP 地 址 ， 理 论 上 就 可 以 给 无 数 个 虚拟 域名 提 
供 服务 ， 这 种 配置 占用 资源 少 且 管理 方便 。 目 前 大 部 分 的 服务 器 租赁 商都 使 用 这 种 方式 提 
供 虚 拟 主机 服务 ， 配 置 方法 如 下 。 

(1) 在 /var/www 文件 夹 中 建立 文件 夹 vnamel 和 vname2， 用 来 存放 虚拟 主机 的 配置 
文件 。 

mkdir -p /var/www/vnamel 
mkdir -p /var/www/vname2 

(2) 上 个 例子 中 ， 在 /etc/httpd 中 建立 的 文件 夹 是 vhost， 在 其 中 建立 文件 vname.conf 并 
写 入 如 下 内 容 。 

vi /etc/httpd/vhost/ipvhost.conf 


#Virtual hosts 
#Virtual host Default Virtual Host 


<VirtualHost 192.168.100.2:80> 

ServerSignature email 

DocumentRoot /var/www/vnamel 

DirectoryIndex index.php index.html intex.htm index.shtml 
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LogLevel warn 
HostNameLookups off 
</VirtualHost> 


<VirtualHost 192.168.100.2:80> 

ServerSignature email 

DocumentRoot /var/www/vname2 

DirectoryIndex index.php index.html intex.htm index.shtml 
LogLevel warn 

HostNameLookups off 

</VirtualHost> 


(G3) 配置 完成 后 重新 启动 httpd 服务 ， 提 示 错 误 但 是 能 启动 ， 如 图 12-19 所 示 。 
(4) 提示 是 没有 指定 NameVirtualHost 主机 地 址 ， 修 改 vname.conf 文件 ， 添 加 一 行 
NameVirtualHost 192.168.100.2， 如 图 12-20 所 示 。 


12-19 重启 Apache 服务 图 12-20 添加 NameVirtualHost 


(5) 再 次 启动 服务 ， 没 有 出 现 错误 ， 在 客户 端 访 问 ， 如 图 12-21 和 图 12-22 所 示 。 
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12-21 ”基于 域名 虚拟 服务 访问 1 12-22 ”基于 域名 虚拟 服务 访问 2 


玫 注意 :Apache 配置 完成 后 网 页 有 可 能 乱码 ， 修 改 http.conf 将 设置 文件 中 的 
AddDefaultCharset ISO-8859-1 改 为 AddDefaultCharset off， 然 后 重启 Apache 
服务 器 。 
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12.6 LAMP 配置 


LAMP 的 意思 是 Linux、Apache、MySQL 和 PHP 协同 组 合 搭建 的 一 个 动态 网 站 ， 各 
个 软件 本 身 都 是 独立 的 服务 器 程序 ， 把 它们 放 到 一 起 使 用 ， 就 拥有 了 一 个 更 高 的 兼容 性 能 
的 Web 应 用 平台 。 本 节 介绍 LAMP 平台 的 搭建 方法 。 


12.6.1 LAMP 简介 


随 着 开源 潮流 的 莲 勃 发 展 ， 开 放 源 代码 的 LAMP 已 经 与 了 EE 和 .NET 商业 软件 形成 
三 足 鼎 立 之 势 ， 并 且 该 软件 开发 的 项 目 在 软件 方面 的 投资 成 本 较 低 ， 因 此 受到 整个 IT 界 
的 关注 。 从 网 站 的 流量 上 来 说 ，70% 以 上 的 访问 流量 是 LAMP 提供 的 ，LAMP 是 强大 的 网 
站 解决 方案 。 

越 来 越 多 的 供应 商 、 用 户 和 企业 投资 者 日 益 认 识 到 ， 经 过 LAMP 单个 组 件 的 开源 软件 
组 成 的 平台 用 来 构建 及 运行 各 种 商业 应 用 和 协作 构建 各 种 网 络 应 用 程序 变 为 一 种 可 能 和 实 
践 ， 变 得 更 加 具有 竞争 力 ， 更 加 吸引 客户 。LAMP 无 论 是 性 能 、 质 量 还 是 价格 都 将 成 为 企 
业 、 政 府 信息 化 所 必须 考虑 的 平台 。 


12.6.2 配置 过 程 


1. 和 拖 载 Apache 软件 


配置 LAMP 建议 在 网 上 下 载 新 的 源 代码 包 进 行 安装 ， 首 先 和 卸载 原来 RPM 安装 的 
Apache。 


2. 编译 安装 Apache 软件 
(1) 在 Apache 官方 网 站 下 载 最 新 的 Apache 软件 包 进行 安装 。TAR 的 安装 首先 要 编译 


软件 包 。 
./configure --prefix=/usr/local/apache -enable-modules=most 
各 参数 的 含义 如 下 。 


--prefix: 指定 Apache 的 安装 目录 。 

--enable-modules=most: 加 载 大 部 分 Apache 的 模块 ， 对 于 初学 者 ， 这 个 选项 将 会 大 大 
减轻 负担 。 

(2) 进行 编译 安装 。 

make 

make install 

(3) 如 果 安 装 完成 系统 没有 报错 ， 使 用 /usr/local/apache/bin 中 的 apachectl 命令 启动 
Apache 服务 器 ， 在 浏览 器 中 输入 服务 器 卫 地 址 即 可 访问 Apache 服务 ， 如 图 12-23 所 示 。 
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12-23 ”访问 Apache 服务 
(4) 启动 Apache 服务 ， 代 码 如 下 。 


#cd /usr/local/apache/bin 
#apachect1 start 


3. 安装 MySQL 


MySQL 是 一 个 小 型 关系 型 数据 库 管理 系统 ， 开 发 者 为 瑞典 MySQL AB 公司 ， 其 在 
2008 年 1 月 16 号 被 Sun 公司 收购 。 目 前 ，MySQL 被 广泛 地 应 用 在 Internet 上 的 中 小 型 网 
站 中 。 由 于 其 体积 小 、 速 度 快 、 总 体 拥有 成 本 低 ， 尤 其 是 开放 源码 这 一 特点 ， 许 多 中 小 型 
网 站 为 了 降低 网 站 总 体 拥有 成 本 而 选择 了 MySQL 作为 网 站 数据 库 。MySQL 的 官方 网 站 的 
网 址 是 www.mysql.com。 

(1) 下 载 MySQL 安装 包 ， 解 压 进入 安装 目录 。 

./configure --prefix=/usr/local/mysql // 指 定安 装 目 录 

make 

make install 

(2) MySQL 安装 完成 后 首先 建立 用 户 的 一 个 组 名 称 mysql， 把 /sr/locaymysql 目录 的 
用 户 改 成 MySQL。 

[root@new-host-6 mysql-5.1.36]# chown mysql /usr/local/mysql 

[root@new-host-6 mysql-5.1.36]# chgrp mysql /usr/local/mysql/ 


G) 初始 化 数据 库 ， 如 图 12-24 所 示 。 

/usr/local/mysql/bin/mysql install db --user=mysql 

(4) 启动 并 登录 MySQL 数据 库 ， 如 图 12-25 所 示 。 图 中 cp share/mysql/mysql.server 
/etc/init.d/mysqld 将 SQL 随机 启动 ， 使 用 bin 目录 中 的 mysqladmin 命令 为 root 用 户 设置 密 
码 命令 ， 代 码 如 下 。 


#./mysqladmin -u root password mypassword 
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图 12-24 安装 MySQL 


图 12-25 登录 MySQL 数据 库 


(5) 使 用 root 用 户 和 密码 登录 MySQL 数据 库 ， 如 图 12-26 所 示 ， 可 以 看 到 MySQL 数 
据 库 可 以 工作 了 。 


12-26 ”查看 MySQL 中 的 数据 库 
4. 安装 PHP 


PHP 是 一 种 动态 网 站 编写 语言 ， 也 是 Apache 上 的 最 佳 动态 开发 语言 PHP。PHP 整合 
了 C、Perl、Shell 的 语言 特点 ， 并 且 专 门 针对 Web 领域 进行 语言 设计 ， 所 以 非常 适合 动态 
语言 的 编写 。 

用 户 可 以 到 PHP 的 网 站 下 载 安装 包 ， 解 压 进 入 安装 目录 。 
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[rootenew-host-6php-5.3.0]#./configure --prefix=/usr/local/php5 --with- 
apxs2=/usr/local/apache/bin/apzs -with-mysql=/usr/local/mysql/ -—- 
with-config-file-path=/usr/local/php5 


—-prefix=/usr/local/php5 // 指 定安 装 目录 
—-with-apxs2=/usr/local/apache/bin/apxs // 指 定 apxs 位 置 
—-with-mysql=/usr/local/mysql/ // 指 定 mysql 目录 
--with-config-file-path=/usr/local/php5 // 指 定 配 置 文件 目录 


注意 : ”apxs 是 Apache 提供 的 一 个 用 于 编译 安装 扩展 模块 的 工具 。 它 的 全 称 是 Apache 
Extension Tool。apxs 的 功能 是 使 用 mod so 中 的 loadModule 命令 ， 在 运行 时 加 
载 指定 的 模块 到 Apache， 因 此 使 用 apxs 的 前 提 就 是 编译 时 打开 so 模块 。 


apxs 2 指 的 是 Apache 版 本 2，apxs 指 的 是 Apache 版 本 1， 在 此 安装 的 是 


Apache 2.2.12， 命 令 如 下 。 


make 
make install 


PHP 安装 完成 后 还 要 对 Apache 进行 配置 。httpd.conf 中 对 PHP 的 配置 如 下 。 


LoadModule php5 module modules/libphp5.so 
AddType application/x-httpd-php .php 
DirectoryIndex index.html index.html .var index.php 


到 这 里 PHP 已 配置 完成 。 下 面 写 一 个 主页 复制 到 Apache 主 目录 中 。 


<?php 
Phpinfo(); 
Li 


保存 为 index.php 放 到 htdocs 目录 中 ， 然 后 在 正 地 址 栏 中 输入 http://192.168.0.40， 如 


图 12-27 所 示 。 可 以 看 到 PHP 和 Apache 可 以 协同 工作 ， 接 下 来 再 安装 一 个 论坛 系统 。 
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5. 安装 phpBB 


到 PHP 网 站 下 载 phpBB 3 的 论坛 系统 ， 解 压 后 直接 复制 到 Apache 主 目录 下 即 可 
使 用 。 


[root@new-host-6 dai]# cp -a phpBB3 /usr/local/apache/htdocs/ 


下 载 一 个 中 文 补丁 复制 到 phpBB 3 中 的 language/ 目 录 下 。 
访问 http:/192.168.0.40/phpBB3/instalyindex.php， 如 图 12-28 所 示 。 这 时 论坛 已 经 可 以 
启动 了 ， 后 台 使 用 的 是 MySQL 数据 库 。 至 此 ，LAMP 介绍 完成 。 
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12.7 Apache 的 日 志 管 理 和 统计 分 析 


对 于 公司 来 说 ， 除 了 要 保证 网 站 的 稳定 正常 运行 以 外 ， 一 个 重要 的 问题 就 是 网 站 访问 
量 和 分 析 报 表 ， 这 对 于 了 解 和 监控 网 站 的 运行 状态 ， 提 高 各 个 网 站 的 服务 能 力 和 服务 水 平 
是 必 不 可 少 的。 通过 对 Web 服务 器 的 日 志文 件 进行 分 析 和 统计 ， 能 够 有 效 地 掌握 系统 运行 
情况 及 网 站 内 容 的 被 访问 情况 ， 加 强 对 整个 网 站 及 其 内 容 的 维护 域 管理 。 本 节 介绍 Apache 
的 日 志 管理 和 统计 分 析 方 面 的 技术 。 


12.7.1 日 志 管 理 


管理 Web 网 站 需要 监视 其 速度 、Web 内 容 传 送 、 服 务 器 每 天 的 吞吐 量 和 Web 网 站 的 
外 来 访问 ， 了 解 网 站 各 个 页 面 的 访问 情况 ， 这 些 都 是 通过 对 日 志 进行 统计 得 到 的 ， 所 以 日 
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志 管 理 对 于 Apache 服务 的 运行 是 非常 重要 的 。 

1. Web 的 重要 性 

管理 Web 网 站 不 只 是 监视 Web 的 速度 和 “Web 的 内 容 传送 ， 关 注 服务 器 每 天 的 吞吐 
量 ， 还 要 了 解 对 这 些 Web 网 站 的 外 来 访问 ， 了 解 网 站 各 个 页 面 的 访问 情况 ， 根 据 各 页 面 的 
点 击 率 来 改善 网 页 的 内 容 和 质量 ， 提 高 内 容 的 可 读 性 ， 跟 踪 包 含有 商业 交易 的 步 又 及 管理 
Web 网 站 后 台数 据 等 。 从 某 种 程度 上 讲 ，“ 上 日 志 就 是 金钱 ”。 因 为 如 果 通 过 日 志 分 析出 一 
个 网 站 具有 高 流量 ， 则 广告 商 就 会 愿意 为 此 支付 费用 。 

2. 日 志 的 种 类 

Apache 的 标准 中 规定 了 4 类 日 志 ， 即 错误 日 志 、 访 问 日 志 、 传 输 日 志 、Cookie 日 
志 。 其 中 ， 传 输 日 志和 Cookie 日 志 被 Apache 2.0 认为 已 经 过 时 。 所 以 本 节 仅仅 讨论 错误 
日 志和 访问 日 志 。 错 误 日 志和 访问 日 志 被 Apache 2.0 默认 设置 。 

3. 日 志 相关 配置 指令 

Apache 中 有 如 下 4 条 与 日 志 相关 的 配置 指令 ， 见 表 12-3。 

表 12-3 Apache 中 日 志 相关 的 配置 指令 

指 令 说 明 
EmorLos 指定 错误 日 志 存 放 路 径 
LogLevel 指定 错误 日 志 的 记录 等 级 


LogFormat 记录 格式 说 明 串 RE 
CustomLog 访问 日 志文 件 名 | 指定 访问 日 志 存放 路 径 和 记录 格式 ， 指 定 访问 日 志 由 
格式 昵称 指定 的 程序 生成 ， 并 指定 日 志 记录 格式 
表 中 的 前 两 条 指令 用 于 配置 错误 日 志 ， 后 两 条 用 于 配置 访问 日 志 。 
12.7.2 配置 错误 日 志 


1. Apache 默认 的 错误 日 志 配置 
Apache 默认 的 错误 日 志 配置 如 下 。 


ErrorLog logs/error log 
LogLevel varn 


CustomLog 


2. 日 志 记录 等 级 
下 面 着 重 介 绍 日 志 的 记录 等 级 ， 见 表 12-4。 
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表 12-4 错误 日 志 记录 等 级 


说 明 


需要 引起 注意 的 情况 ， 但 是 不 如 error、wam 重要 
值得 报告 的 一 般 消息 
由 运行 于 debug 模式 的 程序 所 产生 的 消息 


1 出 现 紧急 情况 使 得 该 系统 不 可 用 ， 如 系统 宕 机 
芝 需要 立即 引起 注意 的 情况 

3 危险 情况 的 报告 

4 除了 emerg、alert、crit 的 其 他 错误 

5 警告 信息 

6 

7 

8 


如 果 指 定 了 等 级 warn， 那 么 就 记录 紧急 程度 为 1 一 5 所 有 的 错误 信息 。 
3. 错误 日 志文 件 举例 
下 面 是 一 个 错误 日 志文 件 的 截取 。 


[Tue Aug 12 09:55:14 2008] [error] [client 192.168.0.113] Directory 
index forbidden by rule: /var/www/html/ 

[Tue Aug 12 09:55:18 2008] [error] [client 192.168.0.113] Directory 
index forbidden by rule: /var/www/html/ 

[Tue Aug 12 09:56:50 2008] [notice] caught SIGTERM, shutting down 

从 文件 内 容 可 以 看 出 ， 每 一 行 记录 了 一 个 错误 。 格 式 为 : 日 期 和 时 间 错误 等 级 错误 


12.7.3 “日志 统计 工具 


1. Webalizer 简介 


目前 有 许多 日 志 分 析 软 件 ， 本 节 将 介绍 Webalizer 的 使 用 。Webalizer 是 一 个 高 效 、 免 
费 的 Web 服务 器 日 志 分 析 程 序 。 其 分 析 结 果 是 HTML 文件 格式 ， 从 而 可 以 方便 地 通过 Web 
服务 器 进行 浏览 。Intemet 上 的 很 多 站 点 都 使 用 Webalizer 进行 Web 服务 器 日 志 的 分 析 。 
Webalizer 具有 以 下 特点 。 
@ 由 于 Webalizer 是 使 用 C 语言 的 程序 ， 所 以 具有 很 高 的 运行 效率 。 在 主 频 为 
200MHz 的 机 器 上 ，Webalizer 每 秒 可 以 分 析 10000 条 记录 ， 所 以 分 析 一 个 40MB 
大 小 的 日 志文 件 只 需要 15 秒 。 

@ ”Webalizer 支持 标准 的 普通 日 志文 件 格式 ， 除 此 之 外 也 支持 几 种 组 合 日 志 格 式 ， 从 
而 可 以 统计 客户 的 情况 及 客户 操作 系统 的 类 型 。 并 且 现 在 Webalizer 已 经 可 以 支 
持 wu-ftpd xferlog 日 志 格式 及 Squid 日 志文 件 格式 。 
Webalizer 支持 命令 行 配置 及 配置 文件 。 
Webalizer 支持 多 种 语言 ， 也 可 以 自己 进行 本 地 化 工作 。 
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@ Webalizer 支持 多 平台 ， 如 Unix、Linux、NT、OS/2 等 。 
2. 安装 Webalizer 


安装 Webalizer 比较 简单 ， 首 先 查 看 本 地 是 否 已 经 安装 了 Webalizer， 如 果 没 有 ， 则 从 
网 络 下 载 Webalizer-2.01_10-25.i386.rpm 文件 后 使 用 rpm 命令 进行 安装 。 


// 查 看 是 否 安装 了 Webalizer 

rpm -qa lgrep Webalizer 

// 插 入 Linux 光盘 安装 Webalizer 

rpm -ivh Webalizer-2.01 10-25.i386.rpm 
// 查 看 Webalizer 

[root@localhost vhost]# rpm -qa lgrep webalizer 
webalizer-2.01 10-25 

// 查 看 安装 文件 

[root@localhost vhost]# rpm -ql webalizer 
//Webalizer 会 由 crond 每 天 运行 一 次 
/etc/cron.daily/00webalizer 
/etc/httpd/conf.d/webalizer.conf 
/etc/webalizer.conf 
/etc/webalizer.conf.sample 
/usr/bin/webalizer 

/usr/bin/webazolver 
/usr/share/doc/webalizer-2.01 10 
/usr/share/doc/webalizer-2.01 10/README 
/usr/share/man/manl/webalizer.1.gz 
/var/lib/webalizer 

// 生 成 HTML 文件 存放 的 路 径 

/var/www/usage 
/var/www/usage/msfree.png 
/var/www/usage/webalizer.png 


3. 配置 Webalizer 


配置 Webalizer 分 为 两 个 步骤 。 

(1) 对 Webalizer 配置 文件 /etc/Webalizer.conf 进行 配置 。 

(2) 配置 Webalizer 的 认证 和 授权 。 

Webalizer 安装 完毕 后 ， 默 认 配置 就 可 以 工作 了 ， 无 须 进 行 配置 。 如 果 用 户 要 了 解 配置 
参数 ， 可 以 使 用 man 命令 手册 。 修 改 /etc/httpd/conf/httpd.conf， 添 加 如 下 内 容 。 

Alias /usage /var/www/usage 

<Location /usage> 

Order deny,allow 

Deny from all 

Allow from 192.168.0.11 ”// 这 里 为 了 安全 ， 只 把 浏览 权 赋 予 了 192 .168.0.11 这 台 主 机 ， 

// 当 然 也 可 以 使 用 用 户 验证 来 限制 用 户 的 访问 


</Location> 


第 全 章 Web 服务 器 配置 i 只 


重新 启动 httpd 服务 器 ， 在 客户 端 进行 测试 结果 ， 如 图 12-29 所 示 。 


ET ET 
cone Cr EET PE Ee- 
Usage Statistics for localhost localdomain [ 


un rree Lanizmwaau 
Cs ms 


图 12-29 Webalizer 界面 
该 界面 只 是 Webalizer 生成 的 访问 统计 分 析 报 表 的 第 一 个 页 面 内 容 ， 二 级 页 面 还 包含 


了 每 个 月 的 平均 访问 量 表格 和 条 形 图 统计 分 析 情 况 。 单 击 每 个 月 份 按钮 ， 可 以 得 到 这 个 月 
每 天 的 详细 统计 信息 。 


本 
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一 、 填 空 题 


1. Web 系统 是 模式 的 ， 即 客户 机 /服务 器 模式 。 

2. 常用 的 Web 服务 器 是 Linux 下 的 和 微软 的 等 ; 
序 是 浏览 器 ， 如 IE、Netscape、Mozilla 等 。 

3.RPM 安装 的 Apache 服务 器 页 面 所 在 的 目录 是 

4. RPM 安装 的 Apache 主 配置 文件 的 路 径 是 

5. RPM 安装 的 Apache 访问 日 志文 件 的 位 置 是 ， 错 误 日 志文 件 的 位 置 是 


常用 的 客户 端 程 


6. 用 户 认 证 的 好 处 是 起 到 一 个 的 作用 ， 控 制 着 所 有 登录 并 检查 访问 用 户 的 合 
法 性 ， 其 目的 是 仅 让 以 合法 的 权限 访问 网 络 资源 。 

7. HTTPS 的 中 文 意思 是 ， 监 听 的 端口 号 是 3 

8. LAMP 的 全 称 是 。 

9. 对 于 所 有 公司 或 来 说 ， 除 了 要 保证 网 站 的 稳定 、 正 常 运行 以 外 ， 另 一 个 重要 的 问题 
就 是 网 站 访问 量 和 分 析 报表 ， 这 对 于 了 解 和 监控 网 站 的 运行 状态 ， 提 高 各 个 网 站 
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的 是 必 不 可 少 的 。 

10. Webalizer 每 秒 可 以 分 析 条 记录 ， 所 以 分 析 一 个 40MB 大 小 的 日 志文 件 只 
需要 秒 。 

二 、 问 答题 
Web 服务 器 具有 哪些 特点 ? 
Apache 服务 器 具有 哪些 特点 ? 
编译 安装 Apache 时 ， 制 定安 装 目录 的 参数 是 什么 ? 
.htaccess 文件 的 作用 是 什么 ? 
Apache 的 3 个 访问 控制 指令 是 什么 ? 
什么 是 Apache 的 虚拟 主机 ? 
Apache 有 4 类 日 志 ， 分别 是 什么 ? 

三 、 上 机 实 训 

某 公 司 因 业务 范围 日 益 扩大 ， 仅 仅 依靠 静态 网 站 内 容 已 经 无 法 满足 进一步 的 产品 宣传 
和 推广 、 销 售 等 需要 。 最 近 该 公司 订购 了 一 套 使 用 PHP 语言 开发 的 电子 商务 系统 ， 要 求 部 
署 到 网 站 服务 器 中 。 现 需要 对 已 经 安装 有 httpd 服务 的 网 站 服务 器 进行 改造 ， 增 加 MySQL 
数据 库 及 PHP 环境 ， 配 置 并 验证 LAMP 各 组 件 能 够 协同 工作 。 


和 


需求 描述 

(1) 编译 安装 MySQL、PHP， 与 Apache 协同 工作 。 

(2) 编译 PHP 的 过 程 中 ， 添 加 “--enable-socket”、“--enable-mbstring” 支 持 。 
(3) 为 MySQL 数据 库 的 root 用 户 设置 密码 。 

(4) 编写 PHP 测试 网 页 ， 验 证 LAMP 是 否 能 够 协同 工作 。 
(5) 在 服务 器 中 部 署 Web 应 用 系统 。 

(6) 配置 论坛 系统 。 

实现 思路 

(1) 先 安装 好 httpd、MySQL， 最 后 安装 PHP。 

(2) PHP 测试 网 页 文件 test.php 的 内 容 如 下 。 

<?php 


phpinfo( ); 
?2> 


\ 
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:邮件 服务 器 配置 


学 习 目的 与 要 求 : 

了 解 电 子 邮 件 的 发 展 历史 ， 掌 握 邮 件 服务 器 的 安装 步骤 和 基本 配置 方法 ， 掌 握 邮 件 服 
务 器 的 SMTP 认证 机 制 的 启用 方法 。 本 章 给 读者 介绍 Linux- 下 的 邮件 服务 器 的 搭建 ， 通 过 
对 本 章 的 学 习 ， 读 者 应 做 到 以 下 几 点 。 


熟悉 电子 邮件 的 格式 。 

熟 驴 电子 邮件 系统 的 组 成 部 分 、 电 子 邮 件 传 输 代理 和 电子 邮件 用 户 代理 。 
熟悉 SMTP 协议 和 POP IMAP 协议 。 

了 解 SMTP 的 通信 过 程 。 

熟练 配置 sendmail 服务 器 和 Postfix 服务 器 。 

熟练 配置 Extmail。 


13.1 电子 邮件 简介 


电子 邮件 (E-maiD) 是 Intemet 上 最 基本 的 网 络 通信 方式 。 进 入 互联 网 的 用 户 不 需要 任何 
纸张 就 可 以 方便 地 使 用 电子 邮件 来 写 、 寄 、 读 和 转发 信件 ， 与 远程 的 用 户 进行 交流 ， 其 优 
点 就 是 不 管 对 方 在 何 处 ， 只 要 能 上 互联 网 就 可 以 进行 交流 ， 而 且 不 受 时 间 的 限制 。 通 过 电 
子 邮 件 还 可 以 传输 文件 、 阅 读 电 子 杂 志 ， 进 行 学 术 讨论 ， 举 行 电子 会 议 。 它 是 目前 互联 网 
使 用 较 普及 、 较 方便 的 通信 工具 。 


13.2 ”电子 邮件 系统 介绍 


电子 邮件 使 用 的 协议 是 标准 的 TCP/IP 协议 ， 它 规定 了 电子 邮件 的 格式 和 在 不 同 的 邮 
局 间 交 换 电子 邮件 的 协议 。 

每 个 电子 邮件 都 分 为 两 个 部 分 ， 电 子 邮 件 头 和 电子 邮件 内 容 。TCP/IP 对 电子 邮件 头 的 
格式 做 了 明确 的 规定 ， 而 电子 邮件 内 容 的 格式 可 让 用 户 自 定义 ， 电 子 邮 件 头 中 最 重要 的 两 
个 部 分 就 是 发 送 者 和 接收 者 的 电子 邮件 地 址 。 电 子 邮 件 的 格式 如 下 : 用 户 名 @ 域 名 。 例 


如 ，test@sina.com.cn，test 是 用 户 名 ，sina.com.cn 是 域名 。 


13.2.1 电子 邮件 的 组 成 部 分 


电子 邮件 发 送 和 接收 系统 就 像 自家 的 邮箱 ， 发 送 者 和 接收 者 通过 它 从 计算 机 中 发 送 和 
接收 电子 邮件 。 它 是 一 个 运行 在 计算 机 的 客户 端 程序 ， 最 常用 的 有 Microsoft Outlook 
Express、Foxmail 等 ， 用 户 可 以 根据 自己 的 喜好 来 选择 不 同 的 程序 ， 从 根本 上 说 ， 它 们 的 
功能 都 是 发 送 和 接收 邮件 。 

电子 邮局 具有 传统 的 邮局 功能 ， 它 在 发 送 者 和 接收 者 之 间 起 着 桥梁 的 作用 ， 是 运行 在 
电子 邮局 服务 器 上 的 一 个 服务 器 端 程序 。 下 面 介绍 基于 Linux 和 Unix 操作 系统 的 电子 邮件 
服务 器 端 程序 sendmail 的 基本 配置 和 使 用 方法 。 

Intermet 电子 邮件 系统 包括 两 个 部 分 ， 邮 件 用 户 代 理 (Mail User Agent，MUA) 和 邮件 传 
输 代理 (Mail Transport Agent，MTA)。MUA 是 用 户 用 来 阅读 和 撰写 电子 邮件 的 程序 ，MTA 
是 电子 邮件 的 传输 程序 。MTA 负责 发 送 电子 邮件 ， 其 收 到 要 发 送 的 电子 邮件 之 后 首先 查 
看 ，“@” 后 面 的 域名 是 否 存在 于 域名 服务 器 的 DNS 中 ，DNS 是 因特网 的 名 称 解 析 数 据 
库 ， 其 中 含有 一 些 称 为 MX( 邮 件 交 换 者 ) 的 记录 。 这 些 记录 会 表明 哪些 主机 会 为 这 个 域名 
发 送 电 子 邮 件 ， 在 发 送 电 子 邮件 的 主机 上 也 运行 着 MTA， 并 且 可 以 和 用 户 的 MTA 对话， 
对 话 完毕 后 ， 这 两 个 MTA 将 会 传送 和 接收 电子 邮件 ， 然 后 断 开 。 一 旦 远 处 的 MTA 得 到 
了 这 个 电子 邮件 ， 它 就 会 把 电子 邮件 发 送 给 接收 者 的 MUA，MUA 再 把 电子 邮件 发 送 给 接 
收 者 。 
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1) MTA 

通俗 地 讲 ，MTA 是 用 来 接收 和 发 送 电子 邮件 的 服务 器 端 。 当 用 户 从 MUA 发 送 一 份 电 
子 邮 件 时 ， 该 电子 邮件 被 发 送 到 MTA， 然 后 MTA 把 这 份 电 子 邮件 发 送 给 一 系列 的 
MTA， 直 到 把 它 发 送 到 目的 地 为 止 。 

2) MUA 

通俗 地 讲 ，MUA 是 电子 邮件 的 客户 端 。 它 的 种 类 繁多 ， 大 都 符合 POP 和 IMAP 协 
议 ， 这 些 包括 微软 系列 ，Linux 下 也 有 第 三 方 的 ， 如 Foxmail 等 。 


13.2.2 ”电子 邮件 的 相关 协议 


电子 邮件 的 相关 协议 有 3 个 ， 分 别 是 SMTP 协议 (Simple Mail Transfer Protocol， 简 单 
邮件 传输 协议 )、POP 协议 (Post Office Protocol， 邮 局 协议 ) 和 IMAP 协议 (Internet Mail 
Access Protocol， 因 特 网 邮件 访问 协议 )。 接 下 来 逐一 介绍 。 


1. SMTP 协议 


SMTP 协议 是 最 早出 现 的 ， 也 是 普遍 使 用 的 最 基本 的 Intemet 邮件 协议 。SMTP 协议 支 
持 的 功能 比较 简单 ， 并 且 在 安全 方面 有 缺陷 ， 通 过 它 传送 的 电子 邮件 是 以 普通 文本 方式 传 
送 的 ， 在 网 络 上 传输 时 有 可 能 被 人 中 途 截 取 并 复制 ， 电 子 邮件 在 传输 的 过 程 中 可 能 会 丢 
失 ， 也 可 能 被 人 冒名 顶替、 伪造 电子 邮件 。 为 了 克服 上 述 缺 点 ， 出 现 了 ESMTP( 扩 展 的 
SMTP 协议 )。 

在 整个 电子 邮件 系统 中 ， 有 两 种 情况 需要 使 用 SMTP。 

(1) 发 送 电子 邮件 的 MUA 和 MTA 建立 连接 并 发 送 电 子 邮 件 。 

(2) MTA 之 间 也 使 用 SMTP 进行 电子 邮件 的 转发 。 

无 论 从 MUA 到 MTA， 还 是 MTA 之 间 ， 它 们 都 是 遵循 基本 的 请 求 到 响应 过 程 。 发 送 
MTA 与 域名 服务 器 (DNS) 联 系 ， 以 查找 在 电子 邮件 接收 者 地 址 中 所 指明 的 域名 ， 然 后 DNS 
可 能 会 返回 该 域名 的 IP 地 址 ， 接 着 发 送 者 的 MTA 就 与 卫 地 址 所 对 应 的 主机 建立 一 个 电 
子 邮 件 的 连接 。DNS 可 能 返回 一 系列 的 电子 邮件 交换 记录 ， 该 记录 中 包含 了 转发 到 接收 者 
的 中 介 MTA 的 各 个 IP 地 址 ， 这 样 发 送 者 的 MTA 就 试图 与 电子 邮件 转发 记录 中 列 出 的 第 
一 个 也 地 址 所 对 应 的 主机 建立 一 个 电子 邮件 连接 。 

在 SMTP 中 ， 客 户 机 与 服务 器 之 间 的 通信 和 是 由 可 读 文本 构成 的 ， 这 给 调试 带 来 了 很 大 
的 方便 ，SMTP 使 用 TCP 的 25 端口 在 发 送 的 电子 邮件 数据 流 中 既 包 含 了 邮件 内 容 ， 同 时 
也 包含 了 SMTP 协议 指令 ， 表 13-1 列 出 了 基本 的 SMTP 指令 。 


表 13-1 基本 SMTP 的 命令 表 
命令 功 能 


HELO | 打开 SMTP 会 话 并 标识 源 主 机 
MAILE FROM | 指明 发 件 人 电子 邮件 地 址 


RCPT 指明 收 件 人 电子 邮件 地 址 


续 表 
命 令 功 能 

DATA 表示 电子 邮件 内 容 的 开始 (以 单行 的 英文 句号 “.” 标 识 结 束 ) 
RSER | 废弃 一 个 电子 邮件 消息 
VRFY | 验证 电子 邮件 地 址 的 有 效 性 
EXPN | 确认 电子 邮件 发 送 清单 并 返回 清单 的 成 员 
HELP 显示 所 有 的 命令 和 命令 说 明 
NOOP 让 目的 主机 返回 OK 响应 
QUIT 请 求 中 断 连接 

SMTP 的 通信 过 程 如 下 。 

(1) 客户 端 通过 3 次 握手 与 服务 器 (TCP 25 端口 ) 建 立 一 个 TCP 连接 ， 然 后 等 待 服务 器 


发 送 220READY FOR MAIL。 

(2) 客户 端 在 收 到 220 报 文 后 ， 发 送 HELO 命令 。 

(3) 服务 器 以 250 please to meet you 响应 ， 表 明 一 切 正 常 。 

(4) 客户 端 以 MAIL 命令 开始 电子 邮件 的 交互 ， 在 MAIL 命令 中 ， 有 一 个 
“FROM: ”字段 ， 用 于 在 出 错时 通知 发 信人 。 

(5) 服务 器 收 到 MAIL 命令 后 ， 发 送 25300K 作为 响应 ， 表 示 一 切 正 常 。 

(6) MAIL 命令 成 功 后 ， 客 户 端 就 可 以 将 收 信人 的 地 址 告诉 服务 器 ， 这 是 用 一 连 串 的 
RCPT 命令 实现 的 。 

(7) 服务 器 接收 到 每 个 RCPT 命令 后 ， 发 送 2500K 作为 响应 ， 表 示 正 确 接收 ;或 者 发 
送 550No such user here 作为 相应 ， 表 示 此 处 没有 这 个 用 户 。 

(8) 客户 端的 RCPT 命令 得 到 正确 的 响应 后 ， 就 可 以 用 DATA 命令 发 送 数据 。 

(9) 服务 器 接收 到 DATA 命令 后 ， 发 送 354 Start mail input; end with “.”on a line by 
itself 给 予 响应 。 

(10) 客户 此 时 可 以 输入 信件 内 容 ， 并 以 “.” 作 为 结束 。 

(11) 服务 器 发 送 2500K， 表 示 信 息 发 送 成 功 。 

(12) 客户 端 请 求 断 开 连 接 。 

(13) 服务 器 断 开 连 接 。 

当 用 户 在 客户 机 上 使 用 MUA 发 送 电 子 邮件 时 ，MUA 会 使 用 SMTP 与 MTA 进行 沟 
通 ， 用 户 不 必 记 忆 SMTP 命令 。 

2. POP 协议 


POP 协议 是 一 种 允许 用 户 从 邮件 服务 器 上 接收 电子 邮件 的 协议 ， 它 有 两 个 版 本 POP 2 
和 了 POP 3， 都 具有 简单 的 电子 邮件 存储 转发 功能 ，POP 2 和 POP 3 本 质 上 类 似 ， 首 先 通过 
POP 3 客户 端 程序 登录 到 POP 3 服务 器 上 ， 然 后 邮件 服务 器 将 为 该 用 户 存储 的 电子 邮件 传 
送 给 POP 3 客户 端 程序 ， 当 使 用 POP 3 在 线 工作 方式 接收 电子 邮件 时 ， 用 户 在 所 用 的 计算 
机 与 邮件 服务 器 保持 连接 的 状态 下 读 取 电 子 邮 件 ，POP 服务 器 使 用 110 端口 ， 表 13-2 列 出 
了 POP 3 的 命令 表 。 
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表 13-2 POP 3 命令 表 


命令 功 能 
USERS usemame 用 户 登录 名 
PASS password 登录 口令 
STAT 查询 还 未 读 取 的 消息 / 字 节 
ERTR msg 检索 编号 为 msg 的 消息 
DELE msg 删除 编号 为 msg 的 消息 
LAST 查询 上 次 访问 的 电子 邮件 数量 
LISTmsg 查询 msg 或 所 有 消息 的 大 小 
RSET 删除 所 有 的 电子 邮件 ， 将 电子 邮件 编号 置 1 
TOP msgn 打印 msg 电子 邮件 的 头 和 前 n 行 
NOOP 向 远程 服务 器 请 求 OK 相应 
A 标识 一 个 电子 邮箱 ， 并 提供 MD5 认证 字符 串 。 可 以 作为 USERS/PASS 命令 
的 普 代 命令 
UIDL msg 查询 指定 电子 邮件 的 唯一 标识 ， 或 者 列 出 所 有 电子 邮件 的 标识 
QUIT 结束 POP 3 会 话 
3. IMAP 协议 


IMAP 协议 允许 远程 服务 器 为 用 户 保存 电子 邮件 ， 用 户 可 以 随时 登录 到 服务 器 查看 电 


子 邮件 。 与 POP 服务 器 不 同 的 是 ， 


IMAP 服务 器 会 保留 用 户 的 电子 邮件 消息 ， 并 将 用 户 的 


电子 邮件 保存 在 一 个 集中 的 地 方 ， 这 样 用 户 可 以 在 网 络 上 的 任何 主机 登录 到 服务 器 来 阅读 
电子 邮件 。 这 个 交互 式 的 连接 比 POP 协议 需要 更 长 的 时 间 连 接 ， 适 用 于 使 用 保持 连接 的 局 
域 网 用 户 。 表 13-3 列 出 了 IMAP 的 命令 表 。 


表 13-3 1IMAP 的 命令 表 


命 令 功 能 
CAPABILTY 列 出 服务 器 支持 的 功能 
NOOP 字面 上 理解 是 “没有 操作 ”， 但 有 时 用 于 查询 新 消息 和 信息 状态 更 新 
LOGOUT 关闭 连接 
AUTHENTICATE 请 求 可 选 的 授权 方式 
LOGIN 打开 连接 ， 以 明文 方式 输入 用 户 名 、 口 令 进行 登录 
SELECT 打开 一 个 电子 邮箱 
EXAMINE 以 只 读 方式 打开 电子 邮箱 
CREATE 创建 一 个 新 电子 邮箱 
DELETE 删除 一 个 新 电子 邮箱 
RENAME 重 命名 电子 邮箱 


y 


续 表 

命令 功 能 
SUBSCRIBE 将 电子 邮箱 添加 到 活动 电子 邮箱 程序 清单 中 
UNSUBSCRIBE 从 活动 电子 邮箱 程序 清单 中 删除 一 个 电子 邮箱 
LIST 从 所 有 有 效 的 电子 邮箱 中 显示 被 请 求 的 电子 邮箱 
LSUB 从 所 有 活动 的 电子 邮箱 中 显示 被 请 求 的 邮箱 
STATUS 查询 电子 邮箱 状态 
APPEND 向 指定 的 电子 邮箱 中 增加 消息 
CHECK 为 当前 电子 邮箱 增加 一 个 检查 点 
CLOSE 关闭 电子 邮箱 ， 并 删除 所 有 有 删除 标记 的 消息 
EXPUNGE 删除 当前 电子 邮箱 中 所 有 有 删除 标记 的 消息 
SEARCH 显示 符号 搜索 条 件 的 信息 
FETCH 从 电子 邮箱 中 取 邮 件 
STORE 修改 电子 邮箱 中 的 邮件 
COPY 将 指定 的 电子 邮件 复制 到 指定 电子 邮箱 的 末尾 
UID 按照 消息 标识 符 搜索 或 提取 电子 邮件 


4. IMAP 与 POP 3 的 区 别 


很 多 人 对 POP 3 非常 熟悉 ，POP 3 提供 了 快捷 的 邮件 下 载 服 务 ， 用 户 可 以 利用 POP 3 
把 电子 邮箱 中 的 电子 邮件 下 载 到 本 地 计算 机 上 进行 离线 阅读 。 一 旦 下 载 到 本 地 计算 机 上 ， 
就 可 以 选择 把 电子 邮件 从 服务 器 上 删除 ， 然 后 断 开 与 Internet 的 连接 ， 在 任何 时 候 阅 读 已 
经 下 载 的 电子 邮件 。 

IMAP 同样 提供 了 方便 的 邮件 下 载 服务 ， 让 用 户 能 进行 离线 阅读 ， 但 是 IMAP 能 完成 的 远 
远 不 止 如 此 ， 首 先 IMAP 提供 了 摘要 浏览 功能 ， 可 以 让 用 户 先 阅读 ， 然 后 决定 是 否 下 载 该 邮 
件 ， 如 果 根 据 摘要 信息 可 以 确定 某 些 邮件 对 用 户 毫 无 用 处 ， 用 户 可 以 直接 在 服务 器 上 删除 。 

IMAP 和 POP 3 不 同 的 地 方 是 在 支持 离线 阅读 上 ， 鼓 励 用 户 把 电子 邮件 存储 在 服务 
器 上 。 

支持 IMAP 的 客户 端 不 多 ， 有 微软 的 OE 和 Netscape。Netscape 功能 多 ， 而 OE 比较 
简单 快捷 。Foxmail 以 前 的 版 本 不 支持 IMAP， 但 是 Foxmail 6 以 上 版 本 支持 该 协议 。 


13.2.3 ”电子 邮件 系统 的 规划 


在 规划 电子 邮件 环境 时 ， 要 注意 以 下 几 个 方面 。 

1) 邮件 服务 器 的 集中 

在 多 机 的 网 络 环境 中 应 注意 电子 邮件 环境 的 统一 配置 ， 同 一 网 络 内 的 邮件 服务 器 不 宣 
过 多 ， 那 样 会 增加 管理 负荷 。 
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2) 共享 信件 缓冲 池 的 资源 竞争 问题 
在 小 规模 的 网 络 中 ， 为 了 实现 电子 邮件 的 共享 环境 ， 管 理 员 一 般 利 用 NFS( 网 络 文件 系 
统 ) 将 每 台 Linux 工作 站 的 信件 缓冲 池 (/var/spoolmaiD) 挂 接 到 电子 邮件 服务 器 上 ， 这 时 需要 
注意 的 是 信件 系统 是 一 种 典型 的 分 布 式 处 理 环境 ， 对 于 共享 文件 特别 是 文件 自 锁 问 题 处 理 
得 不 够 完善 ， 有 时 会 丢失 信件 ， 甚 至 会 损坏 整个 硬盘 。 
3) 统一 电子 邮件 代码 
在 传统 的 UUCP(Unix 间 文 件 复制 协议 ) 中 继 网 络 上 ， 各 个 主要 电子 邮件 中 继 站 一 般 采 
用 7 位 代码 方式 ， 因 此 如 果 要 通过 广域网 传递 多 字 节 信件 ， 必 须 进行 适当 的 代码 转换 。 近 
年 来 ， 随 着 广域网 技术 的 发 展 和 sendmail(V8) 等 MTA 的 改进 ， 在 点 对 点 (Point to Point) 
上 ，TCP/IP 线路 上 已 经 可 以 实现 直接 “8 位 通 ” 的 电子 邮件 传递 。 
4) 更 新 sendmail 版 本 
sendmail 作为 自由 软件 ， 一 直 在 不 断 进行 着 版 本 更 新 以 排除 安全 问题 。 众 所 周知 ， 利 
用 sendmail 所 存在 的 漏洞 进行 网 络 非法 入 侵 的 “黑客 ”活动 仍然 很 猩 狐 ， 为 了 保护 系统 避 
免 遭 到 攻击 ， 建 议 网 络 管理 者 尽 可 能 采用 sendmail 最 新 版 。 
5) 确定 自己 的 邮件 地 址 列表 
各 入 网 单位 必须 采用 Internet 指定 的 正式 域名 ， 然 后 根据 自己 所 在 的 域 来 确定 电子 邮 
件 地 址 名 称 。 
6) 确定 线路 类 型 
电子 邮件 系统 的 虚拟 通信 线路 大 致 有 以 下 4 种 。 
@ ”网 内 直接 配 信 : 本 地 电子 邮件 传送 方式 ， 即 本 地 计算 机 用 户 向 本 地 其 他 用 户 传送 
信件 。 
@ ”UUCP 线路 配 信 : 经 由 UUCP 线路 向 其 他 计算 机 用 户 传递 信件 。 
@ ”SMTP 配 信 : 利用 SMTP 协议 经 由 TCP/IP 线路 向 其 他 计算 机 用 户 传递 信件 。 
@ ”域名 服务 器 下 的 SMTP 配 信 : 发 送信 件 时 用 域名 服务 器 来 检查 收 方 服务 器 的 地 
址 ， 利 用 域名 服务 器 所 提示 的 MX( 邮 件 交 换 ) 记 录 来 确定 收 信 方 的 邮件 地 址 ， 然 
后 通过 SMTP 协议 向 其 他 计算 机 用 户 传递 信件 。 


13.3 sendmail 的 安装 和 启动 


sendmail 作为 一 种 免费 的 邮件 服务 器 软件 ， 已 被 广泛 地 应 用 于 各 种 服务 器 中 。 它 在 稳定 
性 、 可 移植 性 及 确保 没有 漏洞 等 方面 具有 一 定 的 特色 。 下 面 讲解 sndmail 安装 和 启动 的 方法 。 


13.3.1 sendmail 的 安装 


在 Linux 系统 中 ， 如 果 在 安装 系统 时 选择 安装 了 sendmail 软件 包 ， 可 以 使 用 下 面 的 方 
法 进行 ， 如 果 没 有 安装 放 入 Linux 光盘 ， 使 用 pm 命令 进行 安装 。 


[root@localhost ~]# rpm -qa lgrep sendmail 
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sendmail-8.13.1-3.RHELA.5 // 表 明 已 经 安装 sendmail 软件 包 

sendmail-cf-8.13.1-3.RHEL4.5 

此 外 ，sendmail 默认 以 daemon( 电 子 邮件 收发 的 后 台 程 序 ) 的 方式 在 后 台 执行 ， 负 责 处 
理 所 有 电子 邮件 ， 也 可 以 执行 ps -x 命令 来 查看 执行 中 的 程序 。 


[root@localhost ~]# ps -aux |grep sendmail 
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-— 


3.2.3/FAQ 

root 4376 0.0 0.6 10444 2148 ? Ss 08:39 0:01 sendmail: 
accepti ng connections 

smmsp 4384 0.0 0.4 7936 1620 ? Ss 08:39 0:00 sendmail: 
Queue r unnere01:00:00 for /var/spool/clientmqueue 

root 5417 0.0 0.1 4924 648 pts/1 R+ 12:18 0:00 grep sendmail 


另外 ， 还 可 以 使 用 如 下 方法 。 


[root@localhost ~]# /etc/init.d/sendmail status 
sendmail (pid 4384 4376) 正在 运行 ... 


13.3.2 sendmail 的 启动 


如 果 sendmail 还 没有 启动 ， 可 以 执行 setup 命令 ， 进 入 “服务 ”界面 ， 选 择 sendmail 选 
项 进行 启动 ， 如 图 13-1 所 示 。 
也 可 以 在 终端 中 输入 命令 启动 服务 器 ， 代 码 如 下 。 


[root@localhost ~]# service sendmail restart 


关闭 sendmail: [ 确定 ] 
关闭 sm-client: [ 确定 ] 
启动 sendmail: [ 确定 ] 
启动 sm-client: [ 确定 ] 


当然 也 可 以 图 形 化 方式 启动 ， 选 择 “ 所 有 程序 ”|“ 系 统 设置 ”|“ 服 务 器 设置 ”|“ 打 
开 服务 ”选项 ， 在 服务 配置 中 选择 sendmail 选项 ， 使 系统 启动 时 自动 运行 sendmail， 如 
图 13-2 所 示 。 


13-1 setup 命令 设置 邮件 服务 器 开机 启动 13-2 ”在 开始 菜单 中 选择 


第 13 章 “邮件 服务 器 配 轩 i 中 


13.4 ”邮件 服务 器 的 配置 


sendmail 的 主 配置 文件 中 /etc/mail 下 的 sendmail.cf 是 在 初始 安装 时 sendmail.mc 创建 
的 ， 它 允许 sendmail 根据 一 些 选项 如 OSTYPE 和 MAILER 来 推断 自己 的 初始 配置 。 
sendmail 使 用 的 配置 文件 见 表 13-4。 


表 13-4 ”sendmail 的 配置 文件 


文件 名 功 能 
/etc/mail/access sendmail 访问 数据 库 文件 
/etc/aliases 电子 邮箱 别名 
/etc/mail/local-host-names sendmail 接收 电子 邮件 主机 列表 
/etc/mail/submit.cf、 /etc/mail/submit.me, sendmail 辅助 配置 文件 
/etc/mail/mailertable 电子 邮件 分 发 列表 
/etc/mail/sendmail.cf、 /etc/mail/sendmail. mc sendmail 主 配 置 文 件 
/etc/mail/virtusertable 虚拟 用 户 和 域 列表 


下 面 对 一 些 重 要 的 配置 文件 (如 /etc/mail/sendmail.cf 和 submit me 等 ) 进 行 介绍 。 
13.4.1 sendmail.cf 文件 详解 


sendmail.cf 是 sendmail 的 配置 文件 ， 它 决定 了 sendmail 的 属性 ， 定 义 了 邮件 服务 器 为 
哪个 域 工 作 。 其 中 的 内 容 为 特定 宏 ， 大 多 数 人 对 它 的 产生 有 恺 惧 心 理 ， 因 为 文件 中 的 宏 代 
码 太 多 ，sendmail.cf 通常 由 一 个 以 me 结尾 的 文件 sendmailme 编译 产生 ， 用 户 可 以 自己 修 
改 其 中 的 一 些 设置 ， 用 文本 编辑 器 打开 sendmail.mc， 如 下 所 示 。 


divert(-1)dnl 

dnl # 

dnl # This is the sendmail macro config file for m4. If you make changes 

to 

dnl # /etc/mail/sendmail.mc, you will need to regenerate the 

dnl # /etc/mail/sendmail.cf file by confirming that the sendmail-cf 

package is 

dnl # installed and then performing a 

dnl # 

dnl # make -C /etc/mail 

dnl # 

include('/usr/share/sendmail-cf/m4/cf.m4')dnl // 包 含 /usr/share/sendmail- 
//cf/m4/cf.m4 文件 

VERSIONID('setup for Red Hat Linux')dnl // 本 信息 
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OSTYPE ('linuzx')dnl 

dnl # 

dnl # default logging level is 9, you might want to set it higher to 
dnl # debug the configuration 


dnl # 

dnl define('confLOG LEVEL', '9')dnl 

dnl # 

dnl # Uncomment and edit the following line if your outgoing mail needs 
to 

dnl # be sent out through an external mail server: 

dnl # 

dnl define('SMART HOST'， "smtp.your.provider')// 定 义 SMTP 主机 

dnl # 

define('confDEF USER ID',"8:12")dnl // 定 义 用 户 ID 为 8, 组 ID 为 12 
dnl define('confAUTO REBUILD')dnl 

define('confTO CONNECT', 'lm')dnl // 定 义 最 大 的 连接 时 间 为 1 分 钟 
define ("confTRY NULL MX LIST',true)dnl // 定 义 Mx 记录 的 指向 


define ('confDONT_PROBE INTERFACES',true)dn1// 定 义 sendmail 的 有 效 网 络 接口 

define('PROCMAIL MAILER PATH', '/usr/bin/procmail')dnl 

define('ALIAS FILE', '/etc/aliases')dnl // 定 义 电子 邮件 别名 文件 存放 的 路 径 

define('STATUS FILE', '/var/log/mail/statistics')dnl 

define('UUCP MAILER MAX'，"'2000000')dnl  ”// 设 置 基于 UUCP 协议 的 mailer 处 理 
// 信 息 的 最 大 限制 为 2MB 

define('confUSERDB_SPEC'，'/etc/mail/userdb.db')dn1// 设 置 用 户 数 据 库 文 件 路 径 

define('confPRIVACY FLAGS', 

'authwarnings,novrfy,noexpn, restrictqrun')dnl // 设 置 某 些 电 子 邮件 命令 的 标志 

define("confRUTH OPTIONS', 'A')dnl // 如 果 授 权 成 功 ， 将 AUTH 参数 加 

// 到 电子 邮件 的 消息 头 上 

dnl # 

dnl # The following allows relaying if the user authenticates, and disallows 

dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links 

dnl # 

dnl define('confAUTH OPTIONS', 'A p')dnl 

dnl # 

dnl # PLAIN is the preferred plaintext authentication method and used by 

dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do 


dnl # use LOGIN. Other mechanisms should be used if the connection is not 
dnl # guaranteed secure. 

dnl # Please remember that saslauthd needs to be running for AUTH. 

dnl # 

dnl # TRUST AUTH MECH('EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl 

dnl # define('confAUTH MECHANISMS '，“"EXTERNRAL GSSAPI DIGEST-MD5 CRAM-MD5 


LOGIN PLAIN')dnl 
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dnl # 

dnl # Rudimentary information on creating certificates for sendmail TLS: 
dnl # cd /usr/share/ssl/certs; make sendmail .pem 

dnl # Complete usage: 

dnl # make -C /usr/share/ssl/certs usage 

dnl # 


dnl define('confCACERT PATH', '/usr/share/ssl/certs') 

dnl define('confCACERT', '/usr/share/ssl/certs/ca-bundle.crt') 

dnl define('confSERVER CERT', '/usr/share/ssl/certs/sendmail .pem') 

dnl define('confSERVER KEY', '/usr/share/ssl/certs/sendmail .pem') 

dnl # 

dnl # This allows sendmail to use a keyfile that is shared with OpenLDAP's 
dnl # slapd, which requires the file to be readble by group ldap 

dnl # 

dnl define('confDONT BLAME SENDMAIL', ‘'groupreadablekeyfile')dnl 

dnl # 

dnl define('confTO QUEUEWARN', '4h')dnl 

dnl define('confTO QUEUERETURN', "5d'" ) dn1 

dnl define('confQUEUE LA', '12')dnl 

dnl define('confREFUSE LA', "18')dnl 

define('confTO_IDENT'，'0')dnl // 定 义 IDENT 查询 响应 的 等 待 时 间 为 0 

dnl FEATURE (delay checks)dnl 

FEATURE ('no default msa', 'dnl')dnl 

FEATURE ('smrsh', '/usr/sbin/smrsh')dnl 

FEATURE ('mailertable', "hash -o /etc/mail/mailertable.db')dn1l// 定 义 电子 邮 

件 发 送 数据 的 存放 位 置 

FEATURE ('virtusertable', 'hash -o /etc/mail/virtusertable.db')dnl// 定 义 虚 
拟 电 子 邮 件 的 存放 位 置 

FEATURE (redirect)dnl // 表 示 支 持 redirect 虚拟 域 

FEATURE (always add domain)dnl 

FEATURE (use_cw_file) dn // 装 载 /etc/mail/1ocal-host-domain 文件 中 定义 的 主机 名 

FEATURE (use_ct_file) dn1 // 添 加 可 信任 用 户 

dnl # 

dnl # The following limits the number of processes sendmail can fork to accept 
dnl # incoming messages or process its message queues to 12.) sendmail refuses 
dnl # to accept connections once it has reached its quota of child processes. 
dnl # 

dnl define('confMAX DAEMON CHILDREN', 12)dnl 

dnl # 

dnl # Limits the number of new connections per second. This caps the overhead 
dnl # incurred due to forking new sendmail processes. May be useful against 
dnl # DoS attacks or barrages of spam. (Rs mentioned below, a per-IP address 
dnl # limit would be useful but is not available as an option at this writing.) 


dnl # 
dnl] define('confCONNECTION RATE THROTTLE', 3)dnl 


dnl # 

dnl # The -t option will retry delivery if e.g. the user runs Over his quota. 
dnl # 

FEATURE (local procmail, '', "procmail -t -Y -a $h -d $u')dnl 

// 使 procmail 作为 本 地 邮件 的 发 送 者 


FEATURE ('access db', "hash -T<TMPF> -o /etc/mail/access.db')dnl 

FEATURE ('blacklist recipients')dnl // 根 据 访问 数据 库 的 值 来 过 滤 外 来 电子 邮件 
EXPOSED _ USER ("root') dn1 // 杜 绝 伪装 发 送 者 地 址 中 出 现 root 用 户 

dnl # 

dnl # The following causes sendmail to only listen on the IPv4 loopback address 
dnl # 127.0.0.1 and not on any other network devices. Remove the loopback 
dnl # address restriction to accept email from the internet or intranet. 
dnl # 

DAEMON OPTIONS ('Port=smtp,Addr=127.0.0.1, Name=MTA')dnl 

// 指 定 sendmail 作为 MTA 运行 时 的 参数 

dnl # 

dnl # The following causes sendmail to additionally listen to port 587 for 
dnl # mail from MUAs that authenticate. Roaming users who can't reach their 
dnl # preferred sendmail daemon due to port 25 being blocked or redirected find 
dnl # this useful. 

dnl # 

dnl #DAEMON OPTIONS('Port=submission, Name=MSA, M=Ea')dnl 

dnl # 

dnl # The following causes sendmail to additionally listen to port 465, but 
dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed 
dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can't 
dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS 
dnl # and doesn't support the deprecated smtps; Evolution <1.1.1 uses smtps 
dnl # when SSL is enabled-- STARTTLS support is available in version 1.1.1. 


dnl # 

dnl # For this to work your OpenSSL certificates must be configured. 
dnl # 

DAEMON_OPTIONS ('Port=smtps, Name=TLSMTA, M=s')dnl 

dnl # 


dnl # The following causes sendmail to additionally listen on the IPV6 loopback 
dnl # device. Remove the loopback address restriction listen to the network. 
dnl # 

dnl DAEMON OPTIONS ('port=smtp,Addr=::1, Name=MTA-v6, Family=inet6')dnl 
dnl # 

dnl # enable both ipv6 and ipv4 in sendmail: 

dnl # 
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dnl DAEMON OPTIONS ('Name=MTA-Vv4, Family=inet, Name=MTA-v6, Family=inet6') 

dnl # 

dnl # We strongly recommend not accepting unresolvable domains if you 

want to 

dnl # protect yourself from spam. However, the laptop and users on computers 

dnl # that do not have 24x7 DNS do need this. 

dnl # 

FEATURE ('accept unresolvable domains')dnl // 设 置 可 以 接收 但 不 能 由 DNS 解析 的 主 
// 机 发 送 的 邮件 

dnl # 

dnl FEATURE('relay based on MX ')dnl 

dnl # 

dnl # Also accept email sent to "localhost.localdomain" as local email. 

dnl # 

LOCAL DOMAIN('localhost.localdomain')dnl  ”// 设 置 本 地 域 

dnl # 

dnl # The following example makes mail from this host and any additional 

dnl # specified domains appear to be sent from mydomain.com 

dnl # 

dnl MASQUERADE AS('mydomain.com')dnl 

dnl # 

dnl # masquerade not just the headers, but the envelope as well 

dnl # 

dnl] FEATURE (masquerade envelope)dnl 

dnl # 

dnl # masquerade not just @mydomainalias.com, but @*.mydomainalias.com as well 

dnl # 

dnl FEATURE (masquerade entire domain)dnl 

dnl # 

dnl] MASQUERADE DOMAIN (localhost)dnl 

dnl] MASQUERADE DOMAIN (localhost.localdomain)dnl 

dnl] MASQUERADE DOMAIN (mydomainalias.com)dnl 

dnl] MASQUERADE DOMAIN (mydomain.lan)dnl 

MAILER (smtp) dnl // 指 定 sendmail 的 所 有 发 送 者 

MAILER (procmail) dnl // 指 定 使 用 procmail 作为 本 地 邮件 发 送 者 


然后 编译 sendmail.mc， 以 生成 需要 的 sendmail.cf 文件 ， 代 码 如 下 。 

#m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf 

生成 sendmail.cf 以 后 可 以 对 其 进行 编译 ， 在 文件 中 查找 NS( 目 录 服 务 )， 在 其 中 加 入 邮件 
服务 器 名 和 域名 ， 这 样 可 以 保证 以 uasemame@domain.com 或 username@mail.domain.com 
发 信 时 用 户 都 可 以 收 到 。 

sendmail 8.9.x 以 后 的 版 本 在 默认 情况 下 都 不 对 未 验证 的 计算 机 进行 转发 (Relay)， 所 以 
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如 果 要 为 本 机 以 外 的 其 他 计算 机 进行 邮件 转发 ， 应 该 在 相应 的 配置 文件 中 明确 告诉 
sendmail 要 对 哪 几 个 主机 进行 转发 。 如 果 不 考虑 验证 对 任何 主机 都 进行 转发 的 话 ， 可 以 在 
sendmailme 文件 中 加 入 FEATURE(promiscuous_relay)。 

如 果 用 户 的 计算 机 是 在 公 网 上 的 话 ， 建 议 不 要 这 样 做 ， 因 为 这 样 任何 人 都 可 以 使 用 该 
计算 机 进行 邮件 转发 ， 特 别 是 一 些 有 恶意 的 人 或 一 些 垃圾 软件 制造 者 ， 会 利用 用 户 的 邮件 
服务 器 的 转发 功能 乱 发 大 量 的 垃圾 邮件 。 

sendmail 的 主 配置 文件 sendmail.cf 控制 着 sendmail 的 所 有 行为 ， 包 括 重 写 邮件 地 址 到 
打印 拒绝 远程 邮件 服务 器 信息 等 。 这 个 配置 文件 是 很 复杂 的 ， 对 于 标准 的 邮件 服务 器 来 说 
是 很 少 改动 的 ， 当 文件 被 修改 时 必须 重新 启动 sendmail。 


13.4.2 /etc/mail/submit.cf 文件 详解 


/etc/mail/submit.cf 文件 也 是 配置 邮件 服务 器 的 重要 文件 ， 这 里 简单 介绍 它 的 相关 设 
置 ， 使 用 文件 编辑 器 打开 该 文件 ， 如 下 所 示 。 


divert (-1) 

提 

# Copyright (c) 2001-2003 Sendmail, Inc. and its suppliers. 

# All rights reserved. 

# 

# By using this file, you agree to the terms and conditions set 

# forth in the LICENSE file which can be found at the top level of 
# the sendmail distribution. 

# 

# 

# 

# This is the prototype file for a set-group-ID sm-msp sendmail that 
# acts as a initial mail submission program. 

# 


divert (0)dnl 

include('/usr/share/sendmail-cf/m4/cf.m4') 

VERSIONID('linux setup for Red Hat Linux')dnl 

// 定 义 配置 版 本 

define('confCF VERSION', 'Submit')dnl 

// 经 过 proto .m4 的 检查 后 ， 将 _OSTYPE 的 值 置 空 

define(' OSTYPE ','')dnl dirty hack to keep proto.m4 from complaining 
define('_USE DECNET_ SYNTAX ', '1')dnl support DECnet 


// 定 义 系统 时 区 

define('confTIME ZONE'，'USE TZ"')dnl 

// 定 义 禁止 initgroups 程序 

define('confDONT INIT GROUPS'， 'True')dnl 
// 定 义 PID 文 件 位 置 
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define('confPID FILE', ‘'/var/run/sm-client.pid')dnl 

dnl define('confDIRECT SUBMISSION MODIFIERS','C') 

// 加 载 信任 用 户 名 单 

FEATURE ('use ct file')dnl 

dnl 

dnl If you use IPv6 only, change [127.0.0.1] to [IPv6:::1] 

// 设 置 msp 的 IP 地 址 

FEATURE ('msp', " [127.0.0.1] ')dnl1 

配置 好 后 用 M4 工具 生成 submit.cf 文件 。 

一 般 来 说 配置 邮件 服务 器 时 ， 可 以 不 用 修改 sendmail 默认 的 主要 配置 文件 (如 
senmail.cf 和 submit.cf)， 只 要 修改 sendmail 相应 的 数据 库 文件 (如 /etc/mailaccess 、 
/etc/mail/local-host-names 和 /etc/aliases 等 ) 即 可 。 


13.4.3 ”访问 控制 设置 


配置 文件 /etc/mail/access， 访 问 数 据 库 定义 了 哪些 主机 或 卫 地 址 来 访问 本 地 服务 器 ， 
以 及 它们 是 哪 种 类 型 的 访问 ， 主 机 可 能 会 列 出 OKk、REJECT、ERLAY 或 简单 的 通过 
sendmial 的 出 错 程序 检测 一 个 给 定 的 电子 邮件 错误 。 主 机 默认 列 出 OK， 人 允许 传送 邮件 到 
主机 (只 要 电子 邮件 的 最 后 目的 地 是 本 机 ); 如 果 列 出 REJECT， 表 示 将 拒绝 所 有 的 电子 邮件 
连接 ， 带 有 ERLAY 选项 的 主机 将 被 允许 通过 这 个 邮件 服务 器 ， 将 邮件 发 送 到 任何 地 方 。 

默认 情况 下 ，sendmail 关闭 了 RELAY 功能 ， 不 会 为 邮件 服务 器 RELAY 信息 ， 这 样 
可 以 防止 一 些 有 恶意 的 人 利用 邮件 服务 器 做 转发 使 用 。 如 果 用 户 要 为 别 的 服务 器 RELAY 
邮件 ， 可 以 在 access 文件 中 加 入 要 为 其 转发 的 计算 机 ， 用 文本 编辑 器 打开 /etc/mail/access 
文件 。 

# Check the /usr/share/doc/sendmail/README .cf file for a description 


# of the format of this file. (search for access db in that file) 
# The /usr/share/doc/sendmail/README .cf is part of the sendmail-doc 


# package. 

# 

# by default we allow relaying from localhost... 
localhost.localdomain RELAY 

localhost RELAY 

192.168.0 RELAY 

L270.0=1 RELAY 

@126.com RELAY 

@sina.com.cn RELAY 


经 过 上 面 的 配置 可 以 看 出 ， 人 允许 本 机 使 用 域名 和 他 地 址 转发 电子 邮件 ; 允许 转发 
192.168.0 网 段 的 电子 邮件 ; 允许 发 送 到 126 和 新 浪 的 电子 邮件 。 
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文件 /etc/mail/access 决定 了 哪些 计算 机 、 哪 个 域 可 以 使 用 邮件 服务 器 转发 电子 邮件 ， 
在 邮件 客户 端 配置 时 可 以 使 用 邮件 服务 器 的 主机 名 ， 也 可 以 直接 使 用 邮件 服务 器 的 卫 地 
址 ， 配 置 好 /etc/mail/access 后 ， 需 要 执行 如 下 命令 编译 配置 文件 。 


cd /etc/mail 
makemap hash access.db < access 


13.4.4 /etc/mail/local-host-names 文件 详解 


/etc/mail/local-host-names 文件 的 内 容 是 本 地 主机 名 和 域名 列表 ，sendmail 从 文件 中 读 
取信 息 ， 决 定 收 到 的 电子 邮件 是 本 地 电子 邮件 还 是 远程 电子 邮件 ， 然 后 决定 是 本 地 投递 还 
是 转发 。 如 图 13-3 所 示 为 local-host-names 的 文件 内 容 。 


文件 日 ” 编 加 (E) 查看 VV) 终端 DD 标签 @) 帮助 由 


es ~ include all aliases for your mmchine here. 


13-3 ”邮件 的 接收 源 


sendmail 在 收 到 电子 邮件 时 会 和 该 文件 对 比 ， 如 果 该 邮件 与 文件 中 的 主机 名 或 域名 不 一 
致 ， 它 将 会 拒绝 接收 方 发 来 的 电子 邮件 ， 在 修改 文件 后 必须 重新 启动 sendmail 方 可 生效 。 

注意 要 使 域名 在 公 网 上 有 效 ， 并 且 以 后 主机 名 和 域名 会 不 断 增加 ， 和 希望 该 主机 名 可 以 
用 来 收发 电子 邮件 ， 这 时 要 修改 local-host-names， 但 不 要 将 所 有 的 域名 和 主机 名 全 部 添加 
进去 。 因 为 目前 Intemet 上 垃圾 邮件 实在 太 多 ， 它 们 又 会 主动 搜索 一 些 主机 名 ， 然 后 四 处 
发 送 垃圾 邮件 。 例 如 ， 你 的 主机 有 四 个 主机 名 并 且 全 部 写 到 local-host-names 中 ， 那 样 很 有 
可 能 一 封 广告 收 到 4 次 ， 所 以 有 的 时 候 还 是 不 将 全 部 主机 名 写 到 文件 中 。 


13.4.5 ”为 账号 设置 别名 


sendmail 有 一 个 很 好 用 的 功能 ， 就 是 可 以 为 每 个 账号 设置 别名 (Alias)。 例 如 ， 某 个 用 
户 的 账号 为 abc123456， 电 子 邮 件 地 址 为 abc123456@mailtestcc。 这 个 名 称 过 长 ， 可 以 为 
它 取 一 个 别名 abc， 这 样 不 管 是 寄 信 给 abc23456@mailtestcc， 还 是 给 abc@mailtestcc， 该 
用 户 都 可 以 收 到 该 信件 。 

别名 也 适用 于 一 个 用 户 在 不 同 的 电子 邮件 主机 上 都 有 账号 ， 而 且 账 号 名 称 是 不 同 的 。 
例如 ， 某 个 用 户 在 一 台 主 机 上 的 电子 邮件 地 址 是 abchi@mailtestcc， 而 在 另 一 台 主 机 上 的 
地 址 是 abc@163.com， 别 人 很 可 能 记 混 这 两 个 地 址 。 为 了 避免 这 个 麻烦 ， 就 可 以 为 用 户 设 
置 别名 ， 别 名 的 设置 通过 修改 /etc/aliases 文件 实现 ， 默 认 内 容 如 图 13-4 所 示 。 
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文 作 B， 护 辑 (日 ” 查 看 闫 端 (D。 标签 (8B) 帝 助 由 


Aliases in this file will NOF b 
Mil, but WLL be visible over 


222>222>? ‘The pral 
>> NOTE this fi 
> 击 ow through 


一 these MIST be present. 


图 13-4 利用 aliases 配置 文件 


此 文件 默认 所 有 系统 账号 的 别名 都 是 root， 也 就 是 说 不 管 别人 是 寄 信 给 
ftp@mail.test.cc、rpm@mail.test.cc， 还 是 webalizer@mail.test.cc， 结 果 都 是 由 root 来 收 信 。 

1) 为 用 户 建立 别名 

以 root 登录 服务 器 可 以 在 /etc/aliases 文件 中 加 入 一 些 别 名 ， 如 下 所 示 。 

webmaster: root: 将 发 送 给 webmaste 的 文件 寄 给 root。 

abc: abc123456: 设置 abc123456 的 别名 是 abc。 

注 : 第 一 栏 是 别名 ， 第 二 栏 是 正式 姓名 。 

2) 为 用 户 建 立 多 个 别名 

admin: 七 om 

manager: tom 

webcort: tom 

不 管 寄 给 admin、manager， 还 是 webcort 的 信件 ， 都 由 tom 接收 。 

3) 为 一 个 别名 设置 多 个 用 户 


admin: root, tom 


凡是 寄 给 admin 的 信 会 同时 寄 给 root、tom 用 户 。 


LinuX 操作 与 服务 器 配置 实用 教程 


4) 让 别名 生效 

创建 aliases 文件 之 后 ， 要 使 它 生 效 必 须 执行 newaliases 命令 ， 此 命令 会 自动 读 取 
aliases 文件 。 

5) 邮件 存放 的 位 置 与 邮件 结构 设置 

sendmail 所 架设 的 邮件 服务 器 ， 会 将 每 个 用 户 的 邮件 存放 在 /var/spoolmail 目录 中 ， 而 
且 每 个 用 户 都 有 一 个 与 账号 相同 的 文件 来 存储 电子 邮件 ， 如 图 13-5 所 示 。 


IEREICIETICTD 
host mil]# 1s 


root tom 
rmil]# 1s -al 


x 2 root mil 4096 8 月 15 13: 


3 15:15 root 
9 8 有 15 13:42 tom 


13-5 ”显示 详细 信息 


管理 员 可 以 直接 使 用 vi 命令 来 查看 各 个 电子 邮件 的 内 容 ， 因 此 管理 员 的 职业 道德 是 相 
当 重 要 的 。 

6) 处 理 未 寄 出 的 电子 邮件 

有 时 候 可 能 会 因为 网 络 问题 或 者 其 他 的 问题 造成 电子 邮件 无 法 发 出 ， 用 户 可 以 使 用 命 
令 mailq 查看 ， 代 码 如 下 。 


[root@localhost mail]# mailqg 
/var/spool/mqueue is empty // 如 果 出 现 这 种 结果 ， 则 表示 能 发 送 的 信件 已 经 发 送出 去 ， 
// 不 能 发 送 的 信件 也 已 经 退回 发 信人 
Total requests: 0 
// 如 果 出 现下 面 的 消息 ， 则 表示 有 些 信件 尚未 发 送 
[root@localhost mail]# mailq 
/var/spool/mqueue (1 request) 
= OID = ~ 126 OO TIime = -Seder/Recipient = 
二 ITm7E5tk4u005694 759 Fri Aug 15 13:55 <dai@mail.test.cc> 
(Deferred: Connection refused by mail.netegg.net.) 
<123@ddoa.com> 
Total requests: 1 
[root@localhost mail]# mailqg 
/var/spool/mqueue (2 requests) 
三 一 一 一 一 人 = 了 TD 一 一 一 一 一 一 一 S 生 Ze 一 一 一 一 一 一 一 人 = 了 We 一 一 一 一 一 一 = 一 一 一 一 = 一 = 一 = 一 Sender/RecCipient== 一 
(err miF5tk4u005694 759 Fri Aug 15 13:55 <dai@mail.test.cc> 
(Deferred: Connection refused by mail.netegg.net.) 
<123@ddoa.com> 
m7F5uBX8005707 759 Fri Aug 15 13:56 <dai@mail.test.cc> 
(Deferred: Connection refused by mail.test.com.) 
<test.@mail.test.com> 
Total requests: 2 
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当 有 两 封 信件 停留 在 邮件 队列 等 待 寄 出 时 ， 如 果 一 直 都 寄 不 出 去 ， 服 务 器 则 会 通知 发 
信人 ， 无 法 寄 出 的 信件 都 会 存储 在 /var/spool/mqueue 目录 中 ; 在 邮件 服务 器 中 收发 电子 邮 
件 操 作 时 ， 都 会 被 记录 在 /var/log/maillog 文件 中 ， 并 可 用 文本 编辑 器 打开 查看 。 


13.5 建立 POP 邮件 服务 器 


在 以 前 的 Linux 版 本 中 ， 如 果 用 户 需要 安装 POP 服务 器 ， 首 先 要 检查 /usrbin 下 是 否 
有 IPOP3D 或 IMAP 文件 ， 如 果 没有 ， 就 表示 在 安装 Linux 时 没有 添加 POP 或 IMAP 服务 
器 ， 需 要 自行 安装 。 由 于 POP 和 IMAP 软件 包 是 绑 定 在 一 起 的 ， 因 此 只 要 安装 IMAP 包 即 
可 ， 安 装 完成 后 可 以 在 /usr/bin 目录 下 找到 imapd、ipop3d、ipop2d 这 3 个 文件 。 


13.5.1 启动 邮件 服务 


修改 POP 与 IMAP 配置 文件 ， 在 Linux 中 需要 由 xinted 程序 启动 POP 和 IMAP 服 
务 ， 编 辑 配 置 文件 /etc/xinetd.d/imap、/etc/xinetd.d/ipop3 和 /etc/xinetd.d/pop2。 只 要 把 配置 文 
件 做 如 下 改动 即 可 。 

将 以 上 3 个 文件 中 的 disable=yes 修改 成 disable=no 即 可 ， 然 后 再 执行 以 下 命令 ， 要 求 
重新 启动 xinetd.d 程序 后 ， 刚 才 的 修改 才能 生效 。 


/etc/rc.d/init.d/xinetd reload 


经 过 这 几 个 步骤 之 后 ，POP 或 IMAP 服务 器 就 已 经 在 后 台 启 动 并 开始 提供 远程 收发 电 
子 邮件 的 服务 了 。 


13.5.2 ”dovecot 简介 及 配置 


在 Red Hat 企业 版 4 以 后 的 版 本 中 取消 了 imapd、ipop34、ipop2d 这 3 个 文件 ， 用 
dovecot.conf 文件 代替 ， 即 使 用 dovecot 服务 器 代替 了 POP 或 IMAP 服务 器 。dovecot 服务 
器 的 配置 文件 位 于 /etc/dovecot.conf。 

dovecot 是 一 个 基于 安全 的 邮件 投递 代理 ， 它 支持 主流 电子 邮箱 的 形式 ， 即 mbox 或 
者 maildir。 安 装 电子 邮件 投递 代理 很 简单 ， 但 它 只 支持 本 地 用 户 的 认证 。 安 装 dovecot 只 
需要 如 下 几 个 安装 包 ， 即 dovecot-common、dovecot-imapd 和 dovecot-pop3d。 

设置 dovecot.conf 文件 如 下 。 


## Dovecot 1.0 configuration file 


# Default values are shown after each value, it's not required to 
uncomment 

# any of the lines. Exception to this are paths, they're just examples 
# with real defaults being based on configure options. The paths listed 
here 
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# are for configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var 
# --with-ssldir=/usr/share/ssl 


# Base directory where to store runtime data. 
// 该 目录 保存 dovecot 启动 的 PID 号 和 运行 时 间 


#base dir = /var/run/dovecot/ 


# Protocols we want to be serving: 

# imap imaps pop3 pop3s 

// 使 用 的 协议 (IMAPS 和 POP3S 比 普通 的 IMAP 和 POP3 更 加 安全 ， 因 为 它们 在 连接 时 使 用 了 加 密 
// 套 接 字 协议 层 来 加 密 ) 


protocols = imap imaps pop3 pop3s 


# IP or host address where to listen in for connections. It's not 
currently 

# possible to specify multiple addresses. "*" listens in all IPv4 
interfaces. 

# "[::]" listens in all IPv6 interfaces, but may also listen in all IPV4 
# interfaces depending on the operating system. You can specify ports 
with 

a “hostDort™s 

// 监 听 IPv6 地 址 

imap listen = 
pop3 listen = 


# IP or host address where to listen in for SSL connections. Defaults 
# to above non-SSL equilevants if not specified. 

//ssl 机 制 的 imaps 和 pop3s 

#imaps_listen = 

#pop3s_listen = 


# Disable SSL/TLS support. 
// 是 否 禁用 ssl 


#ssl_disable = no 


# PEM encoded X.509 SSL/TLS certificate and private key. They're opened 


before 

# dropping root privileges, so keep the key file unreadable by anyone 
but 

# root. Included doc/mkcert.sh can be used to easily generate self- 
signed 

# certificate, just make sure to update the domains in dovecot- 
openssl.cnf 

// 证 书 即 密 钥 的 存放 位 置 


#ssl cert file = /usr/share/ssl/certs/dovecot.pem 
#ssl key file = /usr/share/ssl/private/dovecot .pem 
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# SSL parameter file. Master process generates this file for login 
processes. 

# It contains Diffie Hellman and RSA parameters. 

//ssl 参数 文件 位 置 (该 文件 会 在 每 次 启动 服务 时 自动 生成 ) 


#5ssl parameters file = /var/run/dovecot/ssl-parameters.dat 


# How often to regenerate the SSL parameters file. Generation is quite 
CPU 

# intensive operation. The value is in hours, 0 disables regeneration 
# entirely. 

//ssl 参数 文件 生存 周期 


#5ssl parameters regenerate = 24 


# Disable LOGIN command and all other plaintext authentications unless 
# SSL/TLS is used (LOGINDISABLED capability). Note that 127.*.*.* and 
# IPV6 ::1 addresses are considered secure, this setting has no effect 
if you connect from those addresses. 

// 使 用 plaintext 验证 

#disable plaintext auth = yes 


# Use this logfile instead of syslog(). /dev/stderr can be used if you 
want to 

# use stderr for logging (ONLY /dev/stderr - otherwise it is closed). 
#1og path = 


# For informational messages, use this logfile instead of the default 
// 设 置信 息 日 志 存放 路 径 
#info log path = 


# Prefix for each line written to log file. % codes are in strftime (3) 
# format. 
#1og timestamp = "%b %d %H:%M:%S " 


提 # 
## Login processes 
提 # 


# Directory where authentication process places authentication UNIX 
sockets 

# which login needs to be able to connect to. The sockets are created 
when 

# running as root, so you don't have to worry about permissions. Note 
that 

# everything in this directory is deleted when Dovecot is started. 
login dir = /var/run/dovecot-login 

# chroot login process to the login dir. Only reason not to do this is 
if you 

# wish to run the whole Dovecot without roots. 

#1login chroot = yes 
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以 上 是 dovecot.conf 文件 的 部 分 内 容 ， 要 配置 dovecot 使 用 POP3 接收 电子 邮件 ， 只 需 
改动 一 个 地 方 就 可 以 ， 即 将 元 rotocols = imap imap3 更 改 为 protocols = imap imap3 pop3 
pop3s 即 可 。 使 用 service dovecot start 启动 dovecot 服务 器 即 可 接收 电子 邮件 。 

了 还 注意 : ”在 安装 dovecot 时 ， 有 时 提示 没有 libmysqlclient.so.15 库 文 件 错误 ， 详 细 过 程 
加 下 。 


[root@localhost CentOS]# rpm -ivh dovecot-1.0.7-2.e15.i386.rpm 
warning: dovecot-1.0.7-2.e15.1386.rpm: Header V3 DSA signature: NOKEY, 
key ID e8562897 
error: Failed dependencies: 
libmysqlclient.so.15 is needed by dovecot-1.0.7-2.e15.i386 
libmysqlclient.so.15(libmysqlclient 15) is needed by dovecot-1.0.7- 
2.e15.i386 
[root@localhost CentOS]# 
造成 这 种 问题 的 原因 是 没有 安装 per-DBI-1.52-1.fc6.i386.mpm 和 mysql-5.0.45- 
7.el5.i386.rpm 两 个 软件 包 。 注 意 ， 如 有 Linux 能 够 直接 上 网 ， 可 以 使 用 Yum 安装 ， 方 法 
是 #yum -y install mysql。 一 般 缺 少 这 种 库 文件 大 多 是 在 安装 系统 时 开发 工具 没有 安装 完 
所 致 。 


13.6 配置 sendmail 服务 器 实例 


sendmail 软件 安装 成 功 后 ， 还 需要 根据 具体 要 求 进行 一 系列 的 配置 。 下 面 以 一 个 
sendmial 服务 器 配置 实例 介绍 配置 的 方法 步骤 。 

1. 配置 sendmail.cf 文件 

修改 vi /etc/mail/sendmail.cf 的 内 容 ， 将 264 行 的 SMTP 守护 进程 的 监听 地 址 改 为 本 地 
的 下 地址 即 可 ， 如 图 13-6 所 示 。 


4, Aldress=.0.0.0 


+ direet sabmissions 


ee sendmmil/SEOURITY 


第 13 章 邮件 服务 器 配置 i 中 


2. 配置 access 文件 
编辑 /etc/mail/access 文件 ， 添 加 允许 转发 的 域名 或 卫 地 址 ， 如 图 13-7 所 示 。 


图 13-7 _ access 文件 内 容 
设置 好 access 文件 后 使 用 如 下 命令 导入 access.db。 
Makemap hash /etc/mail/access.db < /etc/mail/access 
3. 查看 DNS 服务 器 配置 
查看 /etc/named.conf 文件 ， 如 图 13-8 所 示 。 


Dj 


图 13-8 配置 DNS 服务 器 


查看 /var/named/chroot/var/named/test.cc.zone 文件 和 192.168.0.local 文件 ， 如 图 13-9 和 
图 13-10 所 示 。 
RE SE GBD RD FEB WH 


STIL 5400 
@ ON SO owtentce, root,show teat.ce, ( 


ME WN ay) ND wD 


Pm 有 
i 
届 
人 人 
2。 es 
图 13-9 配置 DNS 反 向 解析 文件 图 13-10 配置 DNS 正 向 解析 文件 
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4. 重新 启动 sendmail 服务 器 

使 用 命令 Service sendmail restart 重新 启动 服务 器 。 

配置 到 这 一 步 时 可 以 发 送 邮 件 了 ， 也 就 是 说 SMTP 服务 器 已 经 配置 好 了 ， 如 图 13-11 
和 图 13-12 所 示 。 发 送 一 封 测试 邮件 ， 使 用 smtp 命令 发 送 。 


13-11 向 daihongtao@126.com 发 送 了 一 封 邮件 13-12 在 126 上 查收 邮件 


5. 配置 sendmail 认证 发 送 

在 此 将 使 用 sendmail 和 cyrus-sasl 软件 模块 来 实现 SMTP 认证 。 通 过 对 sendmail 配置 
文件 的 修改 ， 使 sendmail 支持 SMTP 认证 发 送 并 在 客户 端的 邮件 工具 中 配置 认证 发 信 。 

(1) 首先 查看 是 否 安装 了 sasl 库 ， 如 图 13-13 所 示 。 


ry 


13-13 ”查看 是 否 安装 了 sasl 库 


(2) 使 用 vi 命令 编辑 /etc/mail/sendmail.me 文件 。 
(3) 找到 该 项 去 掉 前 面 的 注释 即 可 ， 如 图 13-14(a) 和 图 13-14(b) 所 示 ，IP 地 址 为 本 地 主 


机 的 下 地 址 。 
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(4) 修改 完成 后 保存 退出 ， 使 用 M4 工具 将 sendmailLme 导入 sendmail.cf 中 : 


M4 /etc/mail/sendmail.mc> /etc/mail/sendmail.cf 


(5) 配置 完成 后 ， 重 新 启动 sendmial 服务 器 ， 注 意 在 启动 sendmail 时 可 能 会 提示 错 
误 ， 如 图 13-15 所 示 。 


ceriT 
5 确定 ] 
[ 而 定 ]】 
D0.0 yetchreilfsendeil .cf line 39: uninom configuration 1 
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出 现 上 面 的 错误 并 不 是 配置 的 问题 ， 只 需 将 进度 sendmail.cf 文件 删除 39 行 即 可 ， 第 
39 行 是 一 个 空 行 ， 按 Backspace 键 删除 即 可 。 

此 时 配置 认证 还 没完 成 ， 还 需要 启动 一 个 服务 器 saslauthd 服务 (service saslauthd 
start)。 该 服务 如 果 没 有 启动 的 话 ， 客 户 端 发 送 邮件 总 是 提示 输入 用 户 名 密码 ， 如 图 13-16 


所 示 。 
i 
5 而 
图 13-16 客户 端 认 证 
6. 客户 配置 


下 面 以 Microsoft 的 OF 为 例 进 行 讲解 。 
(1) 打开 OE， 选 择 “ 工 具 ”|“ 账 户 中 的 电子 邮件 ”命令 ， 如 图 13-17 所 示 。 
(2) 添加 账户 ， 单 击 添加 中 的 电子 邮件 ， 并 输入 一 个 显示 名 ， 如 图 13-18 所 示 。 
mw [Cr 
MR mena -an 


rs 


CE 


13-17 ”添加 用 户 
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G) 单 
(4) 单 
效 ， 可 输入 


5 
5 


域名 ， 如 图 13-20 所 示 。 


“下 一 步 ”按钮 ， 输 入 电子 邮件 地 址 ， 如 图 13-19 所 示 。 
“下 一 步 ” 按 钮 ， 输 入 POP 和 SMTP 服务 器 的 人 P 地址 。 如 果 域 名 在 公 网 有 


13-19 邮件 地 址 


(5) 单 击 “ 下 一 步 ” 按 钮 ， 输 入 账户 名 密码 ， 即 sendmail 服务 器 上 的 账户 名 密码 ， 如 


图 13-21 所 示 。 


图 13-20 POP 和 SMTP 服务 器 的 IP 地 址 


(6) 单 击 “ 完 成 ”按钮 ， 完 成 客户 端 设 置 ， 如 图 13-22 所 示 。 


teraet mil 用 录 


和 入 nternet 时 委 提 全 向 站 你 记 作 本 ， 
贝 P 四 


回 记 生 杰 码 四 
A 


Dm sr) 的 


UD): 


CTE SL 


成 有 权能 入 了 设 重 作 户 全 基站 所 有 有 公 息 
村 


CEERI CE 
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(7) 到 此 还 没有 真正 地 完成 ， 还 要 设置 SMTP 


妥当 攻 记 
革 E986f+ 近 收取 各 关 是 册 P03 
和 REfe or De 166 0 于 
san mp) A: [le te G00 

Eb] 
帐户 各 所): 
DD 


区 
回 记 入 到 码 @) 
[0 

ET 
加 


EL 


图 13-22 完成 
认证 ， 如 图 13-23 所 示 。 


CEJ CR CaaS 


13-23 设置 SMTP 认证 
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(8) 现在 可 以 使 用 客户 端 收发 地 址 邮件 了 ， 此 处 在 邮件 服务 器 上 设置 了 两 个 账户 dai 和 
tom。 现 在 做 一 个 试验 ， 用 dai 账户 给 tom 发 送 一 封 电子 邮件 ， 如 图 13-24 和 图 13-25 所 示 。 


pw eh 
| 规 _ 有 3 可 | 开 谨 | 安 | | 文件 中、 编辑 区 可 看 W 工具 C) 所 种 和 D 而 助 (” 遍 | 
服务 器 信息 2 Ee 
下 BY . 四 

轴 发 


接收 邮 种 oP3) 区): [192. 168.0.29 
gr QD [IE 165 到 
ER 
帐户 名 EC) Em 
密码 中 C223 
回 记 住 恋 码 中 
口 便 用 实 全 亚 码 驻 证 和 登录 公 ) 
发 送 邮件 服务 器 
回 昌 开 基 天 要求 和 下 证 T Es 


| 


13-24 ”验证 试验 13-25 ”试验 成 功 


13.7 openwebmail 


openwebmail 的 前 身 是 NeoMail。openwebmail 大 多 数 程序 是 由 Perl 语言 编写 的 ， 具 有 
良好 的 使 用 界面 、 支 持 多 语言 、 支 持 虚拟 主机 、 支 持 邮 件 过 滤 等 特点 。 下 面 介 绍 


openwebmail。 


13.7.1 openwebmail 简介 


openwebmail 只 是 一 个 客户 端 程序 ， 因 此 运行 openwebmail 的 系统 上 还 要 安装 Apache 
和 sendmail 服务 器 程序 ， 由 于 openwebmail 多 数 程序 是 由 Perl 语言 所 编写 ， 所 以 系统 上 还 
必须 要 安装 Perl 和 与 Perl 相关 的 软件 包 。 

为 了 方便 直接 使 用 Yum 工具 来 安装 ， 从 而 省 去 软件 包 的 依赖 问题 ， 在 其 网 站 内 提供 
了 一 个 关于 使 用 Yum 工具 安装 openwebmail 的 帮助 文档 ， 地 址 是 : 

为 了 方便 直接 使 用 Yum 工具 来 安装 ， 从 而 省 去 软件 包 的 依赖 问题 ， 在 其 网 站 内 提供 了 一 
个 安装 openwebmail 的 帮助 文档 ， 地 址 是 : http://openwebmail.acatysmoof.com/download/doc 
/teadme.txt。 先 要 下 载 一 个 名 为 openwebmailrepo 的 文档 ， 地 址 为 : http://openwebmail.org/ 
openwebmail /download/redhat/rpm/release/openwebmail.repo， 将 该 文件 放 入 /etc/yum.repos.d 
目录 中 ， 然 后 使 用 Yum 工具 安装 ， 如 图 13-26 所 示 。 

注意 在 使 用 Yum 安装 openwebmail 时 也 会 提示 一 个 软件 包 的 依赖 问题 ， 如 图 13-27 所 
示 ， 提 示 需 要 安装 一 个 软件 perl-Text-Iconv， 在 openwebmail 的 官方 网 站 (http://openwebmail.org/ 
openwebmail/download/redhat/rpm/packages/rhel5/perl-Text-Iconv/) 可 以 下 载 到 该 软件 。 
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图 13-26 Yum 安装 openwebmail 


图 13-27 Yum 的 依赖 性 
13.7.2 ”openwebmail 的 配置 


使 用 Yum 安装 ， 也 会 安装 openwebmail 相关 的 软件 包 。openwebmail 的 安装 目录 是 


varwww/cgi-bin/openwebmail。 
1. 添加 SMTP 服务 器 的 IP 地址 


进入 /var/www/cgi-bin/openwebmail/etc 目录 ， 修 改 openwebmail.conf 文件 ， 如 图 13-28 
所 示 。 添 加 SMTP 服务 器 地 址 ， 因 为 openwebmail 默认 的 SMTP 地 址 是 127.0.0.1， 如 果 不 
修改 ， 在 初始 化 的 时 候 会 出 现 错误 。 


1 ClanAU RPM pack 
nf B516C 


图 13-28 添加 SMTP 的 IP 地 址 
2 
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2. 初始 化 openwebmail 脚本 


cd /var/www/cgi-bin/openwebmail 


./openwebmail-tool.pl --init 


初始 化 openwebmail， 输 入 立 按 Enter 键 ， 如 图 13-29 所 示 。 


neba 


图 13-29 是 否 打开 服务 器 


3. 修改 Apache 配置 文件 
邮件 服务 器 的 说 明文 档 如 图 13-30 所 示 。 


图 13-30 说明 文档 


所 框 内 容 为 手动 添加 ， 主 要 是 指定 脚本 所 在 的 目录 ， 并 且 为 该 目录 赋予 多 许 访问 的 权限 。 


ScriptAlias 指令 使 Apache 允许 执行 一 个 特定 目录 中 的 CGI 程序 。 当 客户 端 请 求 此 特 
定 目录 中 的 资源 时 ，Apache 假定 其 中 所 有 的 文件 都 是 CGI 程序 并 试图 运行 它 。 

ScriptAlias 与 Alias 指令 非常 相似 ， 都 是 定义 了 映射 到 一 个 特定 目录 的 URL 前 级 ， 两 
者 一 般 都 用 于 指定 位 于 DocumentRoot 以 外 的 目录 ， 其 不 同 之 处 是 ScriptAlias 又 多 了 一 层 
含义 ， 即 URL 前 绥 后 面 的 任何 文件 都 被 视 为 CGI 程序 。 所 以 ， 上 述 例子 会 指示 Apache: 任 
何以 /cgi-bin/ 开 头 的 资源 都 将 映射 到 /usr/local/apache2/cgi-bin/ 目 录 中 ， 且 视 之 为 CGI 程序 。 

修改 完成 后 ， 重 新 启动 Apache 客户 端 在 浏览 器 上 测试 ， 如 图 13-31 所 示 。 

输入 用 户 名 密码 进行 登录 后 ， 如 图 13-32 所 示 。 


图 13-31 测试 openwebmail 图 13-32 成 功 
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openwebmail 的 界面 和 通常 使 用 的 163 和 yahoo、sina 的 差不多 。 这 里 就 不 再 效 述 ， 
openwebmail 的 使 用 方法 我 们 可 以 在 openwebmail 登录 界面 单 击 下 方 的 “帮助 ”进行 查看 。 


13.8 ”Postfix 邮件 服务 器 


Postfix 邮件 服务 器 是 1996 年 由 IBM 资助 的 一 个 自由 软件 项 目 ， 目 的 就 是 取代 传统 的 
sendmail 服务 器 ， 成 为 Internet 上 最 高 效 的 邮件 服务 器 。 现 在 Postfix 已 经 逐步 取代 了 
sendmail 邮件 服务 器 成 为 使 用 最 为 广泛 的 邮件 传输 代理 软件 。Postfix 采用 了 模块 化 的 设计 
思路 、 速 度 高 、 效 率 快 ， 并 采用 了 分 离 式 的 配置 文件 ， 配 置 灵 活 、 扩 展 功能 高 ， 也 相当 安 
全 。 下 面 介绍 Postfix 邮件 服务 器 。 


13.8.1 Postfix 邮件 服务 器 简介 


Postfix 启动 时 首先 启动 一 个 主 进程 master 进程 ， 由 master 进程 负责 邮件 的 转发 工作 ， 
并 且 根 据 需 要 还 会 启动 其 他 进程 协同 工作 。Postfix 可 以 使 用 本 地 用 户 作为 邮件 用 户 ， 也 可 
以 使 用 虚拟 用 户 ， 虚 拟 用 户 保存 在 数据 库 中 ， 最 常见 的 就 是 MySQL 数据 库 。 本 地 用 户 和 
虚拟 用 户 的 认证 在 后 面 的 章节 中 会 详细 讲解 。 


13.8.2 ”安装 Postfix 邮件 服务 器 


Linux 安装 光盘 中 已 经 自 带 了 Postfix 的 安装 程序 RPM 包 格 式 ， 但 是 自 带 的 RPM 包 格 
式 的 安装 程序 不 支持 MySQL 的 虚拟 用 户 ， 所 以 使 用 编译 安装 的 方法 给 大 家 介绍 ， 在 安装 
之 前 还 需要 做 一 些 准备 活动 ， 需 要 添加 posfix 用 户 和 组 (postfix、postdrop)。 

groupadd -g 1200 postdrop 

groupadd -g 1000 postfix 

useradd -u 1000 -M -g postfix -G postdrop -s /sbin/nologin postfix 

上 述 命 令 中 指明 了 一 个 postdrop 组 ID 号 1200 和 postfix 组 ID 号 1000， 添加 了 一 个 
postfix 用 户 ID 号 1000， 所 属 的 组 为 postfix， 附 加 组 为 postdrop， 不 创建 宿主 目录 并 且 禁 
止 登录 系统 。 

创建 完 用 户 和 组 后 即 可 安装 Postfix， 在 它 的 官方 网 站 下 载 一 个 新 的 源 代码 包 postfix- 
2.8-20101126.tar.gz， 将 其 解压 缩 ， 在 解压 出 来 的 目录 没有 configure 预 配置 文件 ， 因 为 
Postfix 并 不 支持 configure 配置 ， 它 的 所 有 配置 都 是 通过 make 来 实现 的 。 


1.， 使 用 make 预 配置 参数 
使 用 make 预 配置 参数 ， 代 码 如 下 。 


[root@localhost postfix-2.8-20101126]# make makefiles \ 
> 'CCARGS=-DHAS MYSQL -I/usr/local/mysql/include/mysql \ 
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-DUSE SASL AUTH \ 
-DUSE_ CYRUS _ SASL -I/usr/include/sasl' \ 


WO 


-L/usr/lib/sasl2 -1sas12 " 


"AUXLIBS=-L/usr/local/mysql/lib/mysql -lmysqlclient -lz -lm \ 


CCARGS 参数 : 为 C 语言 编译 器 提供 额外 的 参数 ，“-I” 选 项 指定 mysql 及 cyrus-sasl 


头 文件 所 在 的 位 置 。 


AUXLIBS 参数 :指出 位 于 标准 位 置 之 外 的 额外 /辅助 的 函数 库 ，“ 工 ”为 mysql 和 


cyrus-sasl 函数 库 所 在 的 位 置 。 
2. 编译 并 且 安装 


[root@localhost postfix-2.8-20101126]# make 


[root@localhost postfix-2.8-20101126]# make install 


在 执行 make install 后 有 一 些 提示 需要 进行 设置 ， 安 装 参数 选择 默认 选项 即 可 ， 下 面 简 


要 介绍 。 


install root: [/] 

tempdir: [/home/dai/postfix-2.8-20101126] 
onfig directory: [/etc/postfix] 

command directory: [/usr/sbin] 

daemon directory: [/usr/libexec/postfix] 
data directory: [/var/lib/postfix] 

html directory: [no] 

mail owner: [postfix] 

mailq path: [/usr/bin/mailq] 

manpage directory: [/usr/local/man] 
newaliases path: [/usr/bin/newaliases] 
queue directory: [/var/spool/postfix] 
readme directory: [no] 

sendmail path: [/usr/sbin/sendmail] 
setgid group: [postdrop] 


// 指 定 系统 的 根 目录 

// 指 定 临时 的 文件 目录 

// 主 配置 文件 所 在 目录 

// 设置 postfix 命令 所 在 的 目录 
//postfix 守护 程序 目录 

// 数 据 文件 位 置 

// 是 否 安装 HTML 文档 
//postfix 用 户 

//mailq 命 令 

// 帮 助 文档 

//newaliases 命令 

// 邮 件 队 列 

//readme 文档 默认 没有 安装 
//sendmail 命令 
//postfix 组 


以 上 可 以 直接 按 Enter 键 选择 默认 选项 ， 各 个 项 设置 完成 后 Postfix 安装 完成 。 
下 面 查看 系统 中 是 否 启动 了 sendmail 服务 器 ， 如 果 启 用 了 sendmail， 将 其 关闭 并 且 设 


置 成 开机 不 自动 启动 。 


service sendmail stop 
chkconfig --level 2345 sendmail off 


设置 好 后 即 可 直接 启动 Postfix 服务 ， 如 图 13-33 所 示 。 


[root@localhost postfix-2.8-20101126]# postfix 


start 


人 S| 


\ 
A 
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13-33 ”启动 Postfix 服务 


13.8.3 ”构建 简单 的 Postfix 邮件 系统 


上 面 已 经 启动 了 Postfix 邮件 服务 器 ， 但 是 如 果 要 使 用 它 发 送 邮 件 ， 还 要 简单 地 对 其 进 
行 配 置 。 在 主 配置 文件 中 添加 几 条 语句 ， 这 里 先 给 读者 介绍 一 个 命令 postconf， 这 个 命令 
用 于 编辑 和 显示 主 配置 文件 main.cf， 笔 者 使 用 postconf 简化 主 配置 文件 的 内 容 ， 只 保留 与 
默认 配置 不 同 的 参数 以 提高 易 读 性 。 

[root@localhost ~]# cd /etc/postfix/  // 进 入 主 目录 


[root@localhost postfix]# postconf -n > main2.cf 


//-n 非 默 认 配置 ， 并 且 保 留 为 main2 .cf 


[root@localhost postfix]# mv main.cf main.cf.bak 


// 将 默认 的 主 配 置 文 件 更 名 备份 


[root@localhost postfix]# mv main2.cf main.cf 


// 将 main2 .cf 更 名 为 主 配置 文件 main.cf 
在 简单 的 配置 完成 后 ， 修 改 main.cf 文件 添加 配置 行 ， 调 整 Postfix 的 运行 参数 如 下 。 


inet interfaces = 192.168.1.200, 127.0.0.1 


// 设 置 监 听 的 IP 地 址 ， 可 以 使 用 all 所 有 


myhostname = mail.test.com //Postfix 使 用 的 主机 名 

mydomain = test.com //Postfix 使 用 的 邮件 域 

myorigin = $mydomain // 在 向 外 发 送 邮件 时 候 发 件 人 的 邮件 域名 
mydestination = Smydomain，Smyhostname // 设 置 可 以 接收 哪些 地 址 的 邮件 

home mailbox = Maildir/ // 邮 件 存储 的 位 置 和 格式 


在 Postfix 中 支持 如 下 两 种 常见 的 邮件 存储 格式 。 

Mailbox: 这 种 存储 格式 是 一 个 用 户 的 所 有 邮件 ， 都 会 存储 在 一 个 文件 中 ， 通 常 这 个 文 
件 的 位 置 在 /var/spool/mail 中 以 用 户 名 命名 的 一 个 文件 中 。 这 种 存储 方式 比较 古老 ， 查 询 的 
效率 比较 低 。 
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Maildir: 这 种 存储 格式 是 以 每 个 邮件 为 一 个 文件 ， 这 种 存储 方式 的 查询 速度 和 效率 都 
比较 高 ， 现 在 大 多 数 邮件 服务 器 都 是 用 这 种 存储 格式 。 

配置 完 上 面 的 文件 后 ， 重 启 Postfix 邮件 服务 器 即 可 发 送 邮 件 ， 建 立 两 个 用 户 ， 用 于 发 
送 邮 件 测试 。 

[root@localhost home]# useradd zhangsan 

[root@localhost home]# useradd lisi 

[root@localhost home]# telnet localhost 25 


Trytng T2700 
Connected to localhost.localdomain (127.0.0.1) . 


Escape character is '^]'. 

220 mail.test.com ESMTP Postfix 
helo localhost 

250 mail.test.com 

mail from: zhangsan@test.com 
250 2.1.0 Ok 

rcpt to: lisi@test.com 

250 2 1 5 OF 

data 

354 End data with <CR><LF>.<CR><LF> 
Dakor Mu 


2 2.0.0 Ok: queued as 59FF188299 
上 面 是 在 命令 行 中 发 送 邮件 ， 和 sendmail 一 样 ， 这 里 不 再 次 述 ， 我 们 看 到 “250” 后 
就 证 明 邮 件 已 经 发 送出 去 了 。 


13.8.4 ”基于 本 地 认证 的 Postfix 配置 


下 面 介绍 基于 本 地 认证 的 Postfix 配置 。 

Postfix: 提供 邮件 发 送 服务 (SMTP)。 

Dovecot: 提供 邮件 收取 服务 (POP 3)。 

Outlook Express: 用 于 收发 信 的 客户 端 工具 。 

如 图 13-34 所 示 为 搭建 一 个 给 予 本 地 用 户 认证 的 邮件 服务 器 。 通 过 上 面 的 介绍 ， 已 经 
知道 一 个 完整 的 电子 邮件 系统 要 有 发 送 邮 件 的 服务 和 接收 邮件 的 服务 。Dovecot 就 是 用 来 
接收 邮件 的 服务 ， 虽 然 Linux 安装 光盘 中 自 带 了 Dovecot 的 安装 包 ， 但 是 RPM 安装 的 方式 
不 支持 MySQL， 所 以 为 了 对 虚拟 用 户 的 认证 ， 使 用 编译 安装 的 方法 让 Dovecot 支持 
MySQL 认证 方式 。 


wie 


一 一 一 一 POSTFIX 
收 信 | 收 信 认 证 收取 邮件 
PP 
DOVECOT 通过 PANM 注 行 
——— Fm wn 


13-34 ”基于 本 地 认证 的 Postfix 配置 示意 图 
1. 安装 Dovecot 软件 包 
首先 从 官方 网 站 上 下 载 最 新 的 软件 包 进行 安装 。 


[rootel ocalhost dai]# useradd -M -s /sbin/nologin dovecot 

// 建 立 一 个 Dovecot 用 户 
[root@localhost dai]# tar -zxvf dovecot-1.2.16.tar.gz 
[root@localhost dai]# cd dovecot-1.2.16 
[root@localhost dovecot-1.2.16]# ./configure --sysconfdir=/etc --with- 
mysql // 预 配置 支持 MYSQL 
[rootelocalhost dovecot-1.2.16]# make && make install // 编 译 并 且 安 装 


2. 配置 Dovecot 服务 
安装 Dovecot 后 会 在 etc 目录 下 自动 建立 一 个 主 配置 文件 的 模板 ， 把 它 稍 加 更 改 就 可 


以 使 用 ， 如 下 所 示 。 


[root@localhost etc]# cp dovecot-example.conf /etc/dovecot.conf 
[root@localhost etc]# vi /etc/dovecot.conf 

protocols = imap pop3 // 更 改 支持 IMAP 和 POP3 协议 

#ssl = yes // 大 家 注意 ， 这 里 需要 禁用 SSL 协议 ， 需 要 把 前 面 的 
//“#” 去 掉 ， 然 后 将 yes 改 为 no， 在 一 些 低 的 版 本 中 默认 没有 禁用 ssl_disable = no, 可 以 
// 看 到 ， 这 里 把 no 改 成 yes 就 禁用 了 

disable plaintext auth = no // 运 行 明文 密码 传输 去 掉 前 面 的 “#”， 把 yes 改 为 no 
mail location = maildir:~/Maildir // 设 置 存 储 格式 和 位 置 ， 去 掉 前 面 的 “#” 


编译 安装 Dovecot 默认 没有 PAM 文件 ， 如 果 没 有 Dovecot 是 无 法 启动 的 ， 这 时 需要 


手动 建立 一 个 PAM 文件 [root@localhost etc]# vi /etc/pam.d/dovecot， 添 加 如 下 内 容 。 


auth required pam nologin.so 
auth include system-auth 
account include system-auth 
session include system-auth 
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3. 启动 Dovecot 服务 


Dovecot 的 启动 程序 位 于 /usr/local/sbin 目录 中 ， 使 用 -c 选项 指定 其 配置 文件 所 在 的 位 
置 ， 如 图 13-35 所 示 。 


图 13-35 ”查看 服务 的 状态 
4. 配置 认证 
从 图 13-35 可 以 看 出 ，Dovecot 已 经 启动 ， 这 时 候 就 可 使 用 Outlook 配置 发 送 和 接收 邮 
件 了 ， 但 是 现在 的 邮件 服务 器 是 无 条 件 的 ， 任 何人 都 可 以 发 送 邮件 ， 很 容易 产生 大 量 的 垃 
圾 邮件 ， 并 且 会 给 服务 器 带 来 不 必要 的 负担 ， 因 此 需要 对 发 送 邮件 的 用 户 进行 认证 。 
在 Postfix 中 ， 可 以 使 用 Cyrus-SASL 简单 认证 安全 层 ， 来 实现 基本 的 SMTP 认证 功 
能 ， 直 接 安装 Linux 光盘 自 带 的 RPM 包 即 可 ， 首 先 查看 其 是 否 已 经 安装 。 


[root@localhost mnt]# rpm -qa lgrep cyrus-sasl 
cyrus-sasl-devel-2.1.22-4 
cyrus=sasl-1ib-2-1:22=4 

cyrus-sasl-2.1.22-4 

cyrus-sasl-plain-2.1.22-4 


Postfix 的 认证 通过 调用 Cyrus-SASL 中 的 函数 库 ， 使 用 的 是 Cyrus-SASL 后 台 的 一 个 程 
序 saslauthd 来 认证 用 户 和 密码 的 ， 如 图 13-36 所 示 。 


es 人 

VY 一 * |Cyrus-SASL 函 数 库 | 一 >| saslauthd 程序 

POSTFIX 发 信 认 证 | 
| <> 


天 上 La 


13-36 ”Postfix 中 Cyrus-SASL 简单 认证 安全 层 
Postfix 使 用 该 认证 机 制 ， 还 要 对 Postfix 的 主 配 置 文件 main.cf 进行 调整 ， 首 先 需要 配 
置 Cyms-SASL 的 函数 库 并 且 启 动 saslauthd 服务 。 建 立 SMTP 使 用 的 配置 文件 
/usrlib/sasl2/smtpd.conf 指定 认证 方式 为 saslauthd， 可 以 参考 /usr/lib/sasl2/Sendmail.conf 文 
件 ， 其 代码 如 下 。 
[root@localhostsasl2]#cp/usr/l1ib/sasl2/Sendmail .conf 


/usr/lib/sas1l2/smtpd.conf 
[root@localhost sasl2]# vi /usr/lib/sasl2/smtpd.conf 
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pwcheck method:saslauthd 
[root@localhost sas12]# service saslauthd start 
启动 saslauthd: [确定 ] 
[root@localhost sasl2]# chkconfig --level 2345 saslauthd on 
修改 Postfix 主 配置 文件 main.cf， 添 加 SMTP 认证 相关 的 参数 ， 并 且 重 新 加 载 ， 代 码 
如 下 。 
[root@localhost sasl2]# vi /etc/postfix/main.cf 
smtpd sasl auth enable = yes 
smtpd sasl security options = noanonymous 
mynetworks = 127.0.0.1 
smtpd recipient restrictions = 
permit mynetworks, 
permit sasl authenticated, 
reject unauth destination 


各 参数 的 含义 如 下 。 

smtpd_sasl_auth_ enable = yes: 启用 SMTP 认证 。 

smtpd_sasl_security_options = noanonymous: 禁止 匿名 登录 。 

mynetworks: 控制 可 以 通过 本 服务 器 外 发 邮件 的 网 络 地 址 或 IP 地 址 ， 设 为 127.0.0.1 
是 为 了 确保 Webmail 系统 可 正常 发 送 邮 件 。 

smtpd_recipient restrictions: 设置 收 件 人 地 址 过 滤 规则 ， 其 匹配 策略 是 “从 上 至 下 逐条 
检测 ， 有 匹配 即 停止 ”。 具 体 参数 含义 如 下 。 

permit_mynetworks: 允许 卫 为 mynetworks 的 客户 使 用 本 邮件 系统 寄 出 邮件 。 

permit_sasl_authenticated: 允许 通过 SMTP 认证 的 用 户 向 外 发 送 邮 件 。 

reject_unauth_destination: 当 收 件 人 地 址 不 包括 在 Postfix 的 授权 网 络 内 时 ， 将 拒绝 发 
送 该 邮件 。Postfix 的 授权 网 络 包括 由 以 下 配置 参数 指定 的 域 及 其 子 域 : mydestination、 
inet_interfaces、virtual _ alias_ maps、vVirtual mailbox_maps、relay_domian 。 

配置 完成 后 重启 Postfix 服务 器 。Outlook 配置 在 sendmail 部 分 已 经 讲 过 ， 选 中 “我 的 
服务 器 要 求 身份 验证 ” 即 可 ， 这 样 就 禁止 了 一 些 非法 用 户 使 用 服务 器 发 送 邮件 。 


13.8.5 ”基于 MySQL 认证 的 Postfix 配置 


前 面 介绍 了 Postfix 基于 本 地 用 户 的 认证 ， 接 下 来 介绍 Postfix 的 一 个 高 级 应 用 ， 即 基 
于 MySQL 的 认证 ， 也 称 基 于 虚拟 用 户 的 认证 。 就 是 认证 用 户 不 是 本 地 用 户 ， 而 是 存在 于 
MySQL 数据 库 中 的 。 最 后 还 要 介绍 一 种 更 好 用 的 Webmail 界面 管理 工具 Extmail 及 后 台 管 
理 平台 Extman， 让 邮件 服务 器 更 接近 于 163、sina、sohu 等 界面 。 

当 邮 件 用 户 的 数量 到 达 几 千 甚至 上 万 个 的 时 候 ， 邮 件 系 统 不 论 从 安全 、 管 理 和 维护 上 
都 会 受到 很 大 的 挑战 ， 如 果 还 是 用 本 地 的 用 户 认证 将 会 存在 不 安全 的 隐患 ， 所 有 为 了 提高 
邮件 系统 的 性 能 、 效 率 和 安全 性 ， 选 择 使 用 虚拟 邮件 系统 ， 把 所 有 数据 保存 到 MySQL 数 
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据 库 中 ， 所 有 的 虚拟 用 户 映 射 为 一 个 本 地 用 户 Postfix 即 可 。 下 面 就 围绕 图 13-37 这 个 总 体 
架构 介绍 虚拟 用 户 的 认证 过 程 。 


发 往 本 域 的 邮件 | | 发 往外 域 的 邮件 


is 一 发 送 邮 件 I Courier-authlib 


POSTFIX 查询 


收 们 认证 存储 本 域 邮 件 认证 
Web 发 信 OA mf 


DOVECOET 通 过 mysql dri = 
| 进行 收 信 认 证 


i | Ek 
-一 ws Extmall 


一 和 一 ExtMan Eee 


13-37 ”基于 虚拟 用 户 的 邮件 架构 
1. 建立 虚拟 用 户 的 数据 库 


在 MySQL 数据 库 中 建立 初始 化 的 数据 库 、 表 ， 用 户 保存 虚拟 的 邮件 域 、 虚 拟 用 户 的 
相关 信息 (不 保存 邮件 的 内 容 )。 可 以 使 用 Extman 中 自 带 的 MySQL 脚本 直接 导入 ， 使 配置 
过 程 简单 化 ， 也 可 根据 MySQL 手动 建立 。 

启动 MYSQL 程序 ， 下 载 extman-0.2.5.tar.gz 软件 包 ， 导 入 其 中 的 SQL 脚本 文件 ， 即 
extmail.sql、init.sql， 代 码 如 下 。 

[root@localhost posftix] # tar zxvf extman-0.2.5.tar.gz 

[root@localhost posftix] # cd extman-0.2.5/docs 

[root@localhost docs]# mysql -u root -p < extmail.sql 

[root@localhost docs]# mysql -u root -p < init.sql 

导入 的 extmail.sql 脚本 会 创建 一 Extmail 的 数据 库 及 该 库 的 一 些 表 ， 并 且 创 建 一 
extmail@localhost、 密 码 为 extmail 和 webman@localhost、 密 码 为 extman 的 数据 库 用 户 ， 
init.sql 脚本 会 创建 一 个 extmail.org 的 虚拟 邮件 域 ， 创 建 一 个 数据 库 用 户 root@extmail.org， 
初始 密码 为 extmail*123*， 创 建 一 个 数据 库 用 户 postmaster@extmail.org， 初 始 密 码 为 


extmail。 

2. 修改 Postfix 的 参数 

使 用 虚拟 邮件 域 、 域 名 、 用 户 和 密码 等 信息 都 会 保存 在 MySQL 数据 库 中 ， 当 Postfix 
接收 到 一 封 邮件 ， 首 先 检查 该 邮件 是 否 发 往 本 地 域 ， 如 果 不 是 ， 则 转发 。 如 果 是 ，Postfix 
就 会 检查 MySQL 数据 库 ， 确 认 收 件 人 是 否 存 在 、 密 码 是 否 正确 等 。 

为 了 使 Postfix 支持 虚拟 用 户 ， 需 要 在 main.cf 配置 文件 中 指定 ， 如 果 要 查询 MySQL 
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数据 库 ， 使 用 postconf -m 命令 可 以 查看 Postfix 是 否 支持 MySQL 数据 库 ， 如 图 13-38 
所 示 。 


图 13-38 查看 Postfix 是 否 支持 MySQL 数据 库 
图 中 显示 Postfix 支持 MySQL 数据 库 ， 如 果 使 用 命令 没有 看 到 MySQL 字样 ， 就 需要 


重新 安装 Postfix 支持 MySQL 数据 库 。 


修改 main.cf 配置 文件 ， 使 Postfix 服务 器 支持 读 取保 存在 MySQL 数据 库 中 的 虚拟 用 


户 ， 注 意 SMTP 原 有 配置 注释 mydestination 配置 行 ， 并 且 将 刚才 解压 出 来 的 extman-0.2.5 
目录 中 的 docs 目录 中 的 以 mysql_virtual 开头 的 文件 复制 到 /etc/postfix 目录 中 ， 有 具体 代码 
如 下 。 


[root@localhost docs]# cp mysql virtual * /etc/postfix/ 

[root@localhost docs]# vi /etc/postfix/main.cf 

#mydestination = $mydomain, $myhostname 

Virtual mailbox base = /mailbox 

Virtual alias maps = mysql:/etc/postfix/mysql virtual alias maps.cf 
Virtual mailbox maps = mysql:/etc/postfix/mysql virtual mailbox maps.cf 
Virtual mailbox domains = 

mysql:/etc/postfix/mysql virtual domains maps.cf 

virtual uid maps = static:1000 

Virtual gid maps = static:1000 


部 分 参数 的 含义 如 下 。 

Virtual mailbox_base: 虚拟 用 户 邮 箱 存储 位 置 。 

virtual alias_maps: 虚拟 别名 列表 。 

virtual_ mailbox_domains (作用 类 似 于 mydestination): 虚拟 用 户 所 在 的 虚拟 的 域 。 
virtual mailbox_ maps: 虚拟 邮箱 查询 表 位 置 。 

Virtual_uid_maps = static:1000: 虚拟 邮件 用 户 映射 到 本 地 的 UID 号 。 

Virtual _gid_ maps = static:1000: 虚拟 邮件 用 户 映射 到 本 地 的 GID 号 。 


3. 设置 虚拟 用 户 的 SMTP 发 信 认 证 
由 于 虚拟 邮件 账户 的 相关 信息 存储 在 MySQL 数据 库 中 ， 仅 仅 使 用 Cyrus-SASL 已 经 
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无 法 完成 SMTP 发 信 认 证 ， 使 用 courier-authlib 软件 的 目的 是 因为 saslauthd 程序 不 支持 数 
据 库 认证 ， 而 courier-authlib 支持 多 种 数据 库 认 证 。 
(1) 编译 安装 courier-authlib 软件 的 代码 如 下 。 


[root@localhost posftix]# tar -jxvf courier-authlib-0.62.4.tar.bz2 
[root@localhost posftix]# cd courier-authlib-0.62.4 
[root@localhost courier-authlib-0.60.2]# ./configure \ 

> --prefix=/usr/local/courier-authlib \ 

> --without-stdheaderdir --with-authmysql \ 

> --with-mysql-libs=/usr/local/mysql/lib/mysql \ 

> --with-mysql-includes=/usr/local/mysql/include/mysql 
[root@localhost courier-authlib-0.60.2] make && make install 
[root@localhost courier-authlib-0.60.2] make install-configure 


系统 中 不 能 安装 有 任何 MySQL 的 RPM 程序 ， 否 则 编译 可 能 会 失败 ， 或 安装 后 的 
courier-authlib 不 具备 MySQL 认证 功能 ， 编 译 安装 之 前 确认 MySQL 的 RPM 包 已 经 卸载 ， 
否则 会 出 现 错 误 。 

上 述 代码 中 部 分 参数 的 含义 如 下 。 

®@  --without-stdheaderdir: 将 头 文件 安装 到 一 个 不 是 默认 的 头 文件 搜索 路 径 的 目录 中 。 

®  --with-authmysql: 配置 支持 MySQL 数据 库 查 询 。 

® 。 --with-mysql-libs=/usr/local/mysqllib/mysql: MySQL 的 库 文件 路 径 。 

© 。 --with-mysql-includes=/usr/local/mysql/include/mysql: MySQL 的 头 文件 路 径 。 

执行 make install-configure 命令 后 将 生成 默认 配置 文件 authmysqlrc 和 authdaemonrc 。 

authmysqlre: 数据 库 配 置 ， 设 置 连接 地 址 、 查 询 方式 等 。 

authdaemonrc: 主 配置 ， 设 置 使 用 的 认证 方式 。 

(2) 修改 courier-authlib 配置 文件 ， 代 码 如 下 。 


[root@localhost courier-authlib-0.62.4]# vi /etc/ld.so.conf 
/usr/local/courier-authlib/lib/courier-authlib 

// 将 courier-authlib 的 库 文件 添加 到 搜索 路 径 中 
[root@localhost courier-authlib-0.62.4] ldconfig 
[root@localhost courier-authlib-0.62.4]# cd /usr/local/courier- 
authlib/etc/authlib/ 
[root@localhost authlib]# cp authdaemonrc authdaemonrc.bak 

// 备 份 两 个 配置 文件 
[root@localhost authlib]# cp authmysqlrc authmysqlrc.bak 
[root@localhost authlib]# vi authdaemonrc 

// 修 改 authdaemonrc 文件 ， 只 保留 MYSQL 认证 方式 
authmodulelist="authmysgql" 
authmodulelistorig="authmysql" 
[root@localhost authlib]#chmod -R 755 /usr/local/courier- 
authlib/var/spool/authdaemon/ 


// 将 authdaemon 目录 的 权限 设置 成 755， 否 则 Postfix 可 能 无 法 正确 获取 用 户 名 和 密码 信息 
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[root@localhost authlib]# vi authmysqlrc 
// 修 改 authmysqlrc 文件 用 于 描述 如 何 向 MySQL 查询 ， 修 改 如 下 内 容 


MYSQL SERVER localhost //MySQL 数据 库 服 务 器 位 置 

MYSQL USERNAME extmail // 数 据 库 管 理 员 账户 

MYSQL PASSWORD extmail // 数 据 库 管 理 员 账户 密码 

MYSQL SOCKET /tmp/mysql.sock // mysql.sock 文件 位 置 

MYSQL DATABASE extmail // 虚 拟 用 户 数据 库 

MYSQL USER TABLE mailbox // 从 mailbox 表 获 得 邮件 账户 的 信息 

MYSQL CRYPT PWFIELD password // 从 pssword 字段 获得 账户 密码 
MYSQL UID FIELD uidnumber // 从 uidnumber 字段 获得 映射 的 本 地 用 户 UID 
MYSQL GID FIELD gidnumber // 从 gidnumber 字段 获得 映射 的 本 地 组 GID 
MYSQL LOGIN FIELD username // 从 username 字段 获得 账户 名 称 ( 带 @ 后 级 ) 
MYSQL HOME FIELD concat(“/mailbox/”,homedir) // 合 并 用 户 的 宿主 目录 完整 路 径 
MYSQL NAME FIELD name //name 字段 获得 账户 名 称 (不 带 8 后 组 ) 


MYSQL _MAILDIR FIELD concat(“/mailbox/”,maildir)// 合 并 用 户 的 完整 邮件 存储 路 径 
[root@localhost authlib]# cp /home/dai/posftix/courier-authlib- 
0.62.4/courier-authlib.sysvinit /etc/init.d/courier-authlib// 复 制 启动 脚本 
[root@localhost authlib]# chmod 755 /etc/init.d/courier-authlib 
[root@localhost authlib]# chkconfig --level 35 courier-authlib on 

// 设 置 开机 自动 启动 

[root@localhost authlib]# service courier-authlib start 


// 启 动 courier-authlib 服务 器 


修改 smtpd.conf 文件 ， 将 认证 方式 改 为 authdaemond( 即 courier-authlib) 并 指定 socket 
文件 的 位 置 即 可 ， 代 码 如 下 。 


[root@localhost authlib]# vi /usr/lib/sasl2/smtpd.conf 
pwcheck method: authdaemond 
authdaemond path: /usr/local/courier-authlib/var/spool/authdaemon/socket 


4. 设置 Dovecot 的 配置 


根据 main.cf 文件 中 virtual_mailbox_base 的 参数 配置 ， 虚 拟 用 户 的 邮件 存储 在 
/mailbox 目录 中 ， 因 此 Dovecot 配置 文件 中 也 要 做 出 相应 的 调整 。 另 外 还 要 添加 passdb sql 
字段 和 userdb sql 字段 来 建立 MySQL 数据 库 查 询 文件 ， 以 启动 数据 库 查 询 功能 。 


[root@localhost ~]# Vi /etc/dovecot .conf 
mail location = maildir:/mailbox/%d/%n/Maildir 


auth default { 
mechanisms = plain 
passdb sql { 
args = /etc/dovecot-mysql.conf 
L 
userdb sql { 
args = /etc/dovecot-mysql.conf 
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} 

} 
// 邮 箱 存储 位 置 中 ，%d 表示 用 户 的 域名 ，S$n 表示 用 户 名 查找 auth default 配置 端 ， 添 加 
//“passdb sql” 和 “userdb sql1” 项 ， 指 向 独立 的 数据 查询 文件 。 注 意 : passdb sql 和 
//userdb sql 配置 段 应 在 passdb pam、userdb passwd 配置 之 前 ， 否 则 虚拟 用 户 进行 POP3 
// 收 信 认证 时 maillog 日 志 会 有 错误 记录 ， 虽 然 并 不 会 导致 认证 失败 ， 但 可 能 会 影响 认证 速度 
[root@localhost authlib]# vi /etc/dovecot-mysql.conf 

// 建立 数据 查询 文件 
driver = mysql 
connect = host=localhost dbname=extmail user=extmail password=extmail 
default pass scheme = CRYPT 

//MySQL 数据 库 中 存储 的 密码 串 的 加 密 算法 


password query = SELECT username AS user,password AS password FROM 


mailbox WHERE username = '%u' // 用 于 查询 用 户 密码 的 SQL 语句 
user query = SELECT maildir, uidnumber AS uid, gidnumber AS gid FROM 
mailbox WHERE username = '%u // 用 户 身份 查询 的 SQL 语句 
[root@localhost authlib]# killall -9 dovecot 

// 关 闭 Dovecot 服务 


[root@localhost authlib]# /usr/local/sbin/dovecot -c /etc/dovecot.conf 
// 启动 Dovecot 服务 
[root@localhost authlib]# mkdir -p 
/mailbox/extmail .org/postmaster/Maildir 
// 建 立 虚 拟 用 户 postmastereextmail.org 的 邮箱 目录 
[root@localhost Maildir]# chown -R postfix:postfix /mailbox 
// 调 整 权 限 把 邮箱 的 宿主 和 宿 组 赋予 postfix 


5. 测试 虚拟 邮件 用 户 实现 的 结果 


上 述 步骤 完成 后 ， 可 以 分 别 进行 测试 ， 来 验证 Postfix 邮件 系统 是 否 已 经 支持 虚拟 用 
户 ， 首 先 测试 authlib 服务 ， 能 看 到 Authentication succeeded 的 测试 结果 及 虚拟 用 户 的 信 
息 ， 代 码 如 下 。 


[root@localhost postmaster]# [root@localhost postmaster]# 
/usr/local/courier-authlib/sbin/authtest -s login postmaster@extmail.org 
extmail 


Authenticated: postmaster@extmail.org (uid 1000, gid 1000) 
-bash: [root@localhost: command not found 
Home Directory: /mailbox/extmail.org/postmaster 
Maildir: (none) 
Quota: (none) 


Cleartext Password: extmail 
Options: (none) 
[root@localhost postmaster]# 
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测试 对 虚拟 用 户 的 SMTP 发 信 认 证 ， 出 现 “235 2.0.0 Authentication successful” 信 息 ， 
表示 成 功 ， 代 码 如 下 。 
// 首 先 获得 虚拟 用 户 postmaster@extmail .org 以 及 密码 的 base64 编码 字符 串 


root@mail ~]# printf "postmaster@extmail.org" | openssl base64 
cG9zdG1lhc3R1lckBleHRtYWl1sLm9yZw== 

[root@mail ~]# printf "extmail" | openssl base64 

ZXhObWFPbA== 


// 执 行 telnet 命令 ， 使 用 获得 的 字符 串 进行 测试 
[root@localhost postmaster]# telnet localhost 25 
rvwing L27000- se 

Connected to localhost.localdomain (127.0.0.1). 
Escape character is '^]'. 

220 mail.test.com ESMTP Postfix 

auth login 

334 VXNlcm5hbWU6 
cG9zdGlhc3RlckBleHRtYWl1sLm9yZw== 

334 UGFzc3dvcmQ6 

ZXhObWFPPA== 

235 2.7.0 Authentication successful 

quit 

221 2.0.0 Bye 
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Extmail 是 国内 的 开源 组 织 使 用 Perl 语言 开发 的 一 个 强大 的 Webmail 平台 ， 主 要 包括 
Extmail 和 Extman 两 个 部 分 。Extmail 是 用 户 从 浏览 器 中 发 送 接收 邮件 的 Web 操作 界面 ， 而 
Extman 是 管理 邮件 系统 的 一 个 Web 界面 。 对 应 国内 的 用 户 ， 不 论 从 功能 、 易 用 性 还 是 中 文 
等 方面 ，Extmail 都 是 一 个 不 错 的 选择 ，Extmail 的 官方 网 站 是 http://www.extmail.org， 可 以 
在 其 官方 网 站 下 载 最 新 的 安装 包 。 下 面 以 extmail-1.0.5.tarjz 和 extman-0.2.5.tar.gz 为 例 分 别 
介绍 两 个 程序 套件 的 部 署 。 


1. 部 署 Extmail 邮件 使 用 界面 


安装 及 运行 Extmail 套件 还 需要 用 到 3 个 Perl 支持 的 软件 包 ， 即 Unix-Syslog- 
1.1.tar.gz、DBI-1.607.tar.gz 和 DBD-mysql.tar.gz。 这 3 个 软件 包 可 以 从 http://search.cpan.org 
中 搜索 获得 。 按 照 先后 的 顺序 安装 3 个 软件 包 。 

(1) 安装 Unix-Syslog 包 的 代码 如 下 。 

[root@localhost posftix]# tar -zxvf Unix-Syslog-1.1.tar.gz 

[root@localhost posftix]# cd Unix-Syslog-1.1 


[root@localhost Unix-Syslog-1.1]# perl Makefile.PL 
[root@localhost Unix-Syslog-1.1]# make && make install 
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(2) 安装 DBI 包 的 代码 如 下 。 


[root@localhost posftix]# tar -zxvf DBI-1.607.tar.gz 
[root@localhost DBI-1.607]# perl Makefile.PL 
[root@localhost DBI-1.607]# make && make install 


(3) 安装 DBD-mysql 有 些 复杂 ， 要 指定 MySQL 的 库 文件 和 头 文件 位 置 (根据 自己 的 
MySQL 安装 的 位 置 决定 )， 安 装 DBD-mysql 包 的 代码 如 下 。 


[root@localhost posftix]# tar -zxvf DBD-mysql-4.011.tar.gz 

[root@localhost posftix]# cd DBD-mysql-4.011 

[root@localhost DBD-mysql-4.011]# perl Makefile.PL \ 
--libs="-L/usr/local/mysql/lib/mysql -lmysqlclient -lz" \ 
--cflags=-I/usr/local/mysql/include/mysql \ 
--mysql config=/usr/local/mysql/bin/mysql config 
--testhost=127.0.0.1 

[root@localhost DBD-mysql-4.011]# make && make install 


(4) 安装 并 配置 Extmail 套件 ， 代 码 如 下 。 


[root@localhost posftix]# tar -zxvf extmail-1.0.5.tar.gz 
[root@localhost posftix]# mv extmail-1.0.5.tar.gz 
/usr/local/apache/htdocs/extmail 

[root@localhost posftix]# cd /usr/local/apache/htdocs/ 

[root@localhost htdocs]# cd extmail/ 

[rootelocalhost extmail] chown -R postfix:postfix cgi // 调 整 cgi 目录 的 权限 
[root@localhost extmail]# cp webmail.cf.default webmail.cf 
[root@localhost extmail]# vi webmail.cf // 修 改 Extmail 主 配置 文件 如 下 
SYS_CONFIG = /usr/local/apache/htdocs/extmail/ // 程 序 根 目录 

SYS LANGDIR = /usr/local/apache/htdocs/extmail/lang // 语 言 包 文件 目录 
SYS_TEMPLDIR = /usr/local/apache/htdocs/extmail/html  // 系 统 模板 目录 


SYS MAILDIR BASE = /mailbox // 邮 件 存储 目录 

SYS MYSQL USER = extmail // 访 问 MySQL 数据 库 的 用 户 名 
SYS_MYSQL PASS = extmail // 访 问 MysQL 数据 库 用 户 的 密码 
SYS MYSQL DB = extmail // 使 用 的 数据 库 名 称 

SYS MYSQL HOST = localhost //MySsQL 服务 器 的 地 址 
SYS_MYSQL SOCKET = /tmp/mysql.sock //MYSQL 套 接 字 文 件 的 位 置 


(5) 调整 Apache 的 主 配置 文件 ， 添 加 一 个 虚拟 主机 。 


[root@localhost apache]# cd conf/ 

[root@localhost conf]# vi httpd.conf 

NameVirtualHost 192.168.1.200 

<VirtualHost 192.168.1.200> 
ServerName mail.test.com 
DocumentRoot /usr/local/apache/htdocs/extmail/html/ 
ScriptAlias /extmail/cgi/ /usr/local/apache/htdocs/extmail/cgi/ 
Alias /extmail /usr/local/apache/htdocs/extmail/html/ 
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SuexecUserGroup postfix postfix 
</VirtualHost> 
(6) 登录 extmail 邮件 系统 。 在 浏览 器 中 输入 http://mail.test.com 或 人 P 地 址 ， 即 可 看 到 
Extmail 程序 套件 的 Web 页 面 。 在 前 面 导入 extmail.sql 的 脚 ， 本 其 内 包含 了 一 个 postmaster 
的 用 户 ， 密 码 是 extmail， 并 且 有 一 个 虚拟 的 域 extmail.org 并 使 用 extmail.org 来 登录 ， 如 
图 13-39 和 图 13-40 所 示 。 


图 13-39 登录 Extmail 邮件 系统 13-40” 主 界面 


2. 部 署 Extman Web 管理 界面 


部 署 好 Extmail 程序 套件 后 ， 电 子 邮 件 用 户 可 以 通过 Web 界面 登录 和 使 用 ， 但 是 在 默 
认 的 情况 下 只 有 一 个 虚拟 域 ， 无 法 满足 实际 的 要 求 。 本 节 进 一 步 安 装 Extman 套件 ， 通 过 
Web 界面 来 管理 Postfix 的 邮件 系统 ， 如 添加 用 户 、 添 加 虚拟 域 等 。 

在 部 署 之 前 还 要 安装 Extman 需要 的 一 些 Perl 软件 包 ， 即 GD、File-Tail 及 rrdool 绘图 
引擎 工具 包 。 

(1) 安装 GD 软件 包 ， 代 码 如 下 。 

[root@localhost posftix]# tar -zxvf GD-2.41.tar.gz 

[root@localhost posftix]# cd GD-2.41 


[root@localhost GD-2.41]# perl Makefile.PL 
[root@localhost GD-2.41]# make && make install 


(2) 安装 File-Tail 软件 包 ， 代 码 如 下 。 


[root@localhost posftix]# tar -zxvf File-Tail-0.99.3.tar.gz 
[root@localhost posftix]# cd File-Tail-0.99.3 
[root@localhost File-Tail-0.99.3]# perl Makefile.PL 
[root@localhost File-Tail-0.99.3]# make && make install 


(3) 安装 rrdtool 绘图 引擎 工具 包 ， 代 码 如 下 。 


[root@localhost posftix]# rpm -ivh perl-rrdtool-1.2.23-1.el5.rf.i386.rpm 
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了 EUEOOL=J .2523=1-.615.Tf.1386-7p%m 
warning: Perl-rrdtool-1.2-23-1.el5.rf.i386.rpm: Header V3 DSA signature: 
NOKEY, key ID 6b8d79e6 


Preparing... 莫非 提 拓 拓 拓 拓 拓 拓 莫大 担 拓 拓 排 提 担 拓 磊 大手 拓 其 划 划 坦 拓 拓 提 拓 提 拓 划 井 坦 拓 拓 拓 夫 坦 拓 ## 
[100%] 

1:rrdtool 排 扒 提 基 提 排 反 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 提 搓 拓 提 提 提 提 并 提 提 捍 提 提 提 提 提 
[ 50%] 

2:perl-rrdtool 排 拓 拓 非 坦 拓 大大 提 担 提 拓 排 拓 拓 其 拓 划 间 拓 拓 排 提 提 拓 拓 划 提 民 拓 拓 划 提 拓 拓 排 划 拓 拓 井 间 提 
[100%] 


[root@localhost posftix]# 


(4) 安装 并 配置 Extman 软件 包 ， 代 码 如 下 。 


[root@localhost posftix]# tar -zxvf extman-0.2.5.tar.gz 

[root@localhost posftix]# mv extman-0.2.5/ 

/usr/local/apache/htdocs/extman 

[root@localhost posftix]# cd /usr/local/apache/htdocs/extman 

[root@localhost extman]# chown -R postfix:postfix cgi 

[root@localhost extman]# mkdir /tmp/extman // 创 建 临 时 的 会 话 目录 

[root@localhost extman]# chown -R postfix:postfix /tmp/extman/ 
// 设 置 临时 会 话 目录 权限 

[root@localhost extman]# vi webman.cf // 修 改 主 配 置 文件 如 下 

SYS_CONFIG = /usr/local/apache/htdocs/extman/ 

SYS_LANGDIR = /usr/local/apache/htdocs/extman/lang 

SYS TEMPLDIR = /usr/local/apache/htdocs/extman/html 

SYS MAILDIR BASE = /mailbox 

SYS MYSQL USER = webman 

SYS MYSQL PASS = webman 

SYS_ MYSQL DB = extmail 

SYS MYSQL HOST = localhost 

SYS MYSQL SOCKET = /tmp/mysql.sock 

SYS CAPTCHA LEN = 2 


大 家 注意 最 后 一 行 默认 是 SYS_CAPTCHA_LEN = 6， 校 验 码 的 位 数 在 此 改 成 2， 因 为 校 
验 码 输入 大 小 写 区 分 位 数 多 的 话 ， 容 易 输入 错误 。 还 有 一 个 参数 SYS_CAPTCHA_ON = 0， 
这 个 参数 的 配置 含义 是 ， 如 果 是 1， 登 录 界面 有 校 验 码 ， 如 果 是 0， 登 录 界面 没有 校 验 码 。 
(5) 调整 Apache 的 主 配置 文件 ， 在 刚才 设置 的 虚拟 主机 中 添加 相应 的 Extman 的 目录 
别名 设置 ， 重 启 Apache 服务 器 ， 代 码 如 下 。 
NameVirtualHost 192.168.1.200 
<VirtualHost 192.168.1.200> 
ServerName mail.test.com 
DocumentRoot /usr/local/apache/htdocs/extmail/html/ 
ScriptAlias /extmail/cgi/ /usr/local/apache/htdocs/extmail/cgi/ 


Alias /extmail /usr/local/apache/htdocs/extmail/html/ 
ScriptAlias /extman/cgi/ /usr/local/apache/htdocs/extman/cgi/ 
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Alias /extman /usr/local/apache/htdocs/extman/html/ 
SuexecUserGroup postfix postfix 
</VirtualHost> 
#service httpd restart 
(6) 在 浏览 器 中 输入 http://mail.test.com 或 IP 地 址 ， 可 以 看 到 Extman 套件 的 Web 页 
面 。 可 以 使 用 默认 的 管理 员 root@extmail.org、 密 码 extmail*123* 登 录 并 添加 用 户 和 虚拟 
域 ， 如 图 13-41 和 图 13-42 所 示 。 
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图 13-41 Extman 的 登录 界面 13-42 ”进入 Extman 管理 界面 


Web 邮件 系统 已 经 搭建 完成 ， 其 很 接近 平时 使 用 的 163 或 sina 邮箱 。 大 家 可 以 按照 上 
面 的 配置 方法 配置 完成 后 ， 在 Extman 管理 界面 上 添加 两 个 用 户 发 送 邮件 进行 尝试 。 


本 章 习 题 
一 、 填 空 题 
1. 电子 邮件 的 命名 格式 是 。 ” ， 它 由 两 部 分 组 成 ， 分 别 是 、 
2. Intermet 电子 邮件 系统 包括 两 个 部 分 ， 分 别 是 和 
3. 电子 邮件 的 相关 协议 有 3 个 ， 分 别 是 
4. sendmail 邮件 服务 器 的 主 配置 文件 是 
5. sendmail 邮件 服务 器 设置 访问 控制 的 文件 是 
6. 查看 未 寄 出 邮件 的 命令 是 
7. Postfix 可 以 使 用 作为 邮件 ， 用 户 也 可 以 使 用 _《。， 保存 在 


数据 库 中 ， 最 常见 的 就 是 MySQL 数据 库 。 
8. 在 Postfix 中 支持 两 种 常见 的 邮件 存储 格式 分 别 是 
9. Dovecot 是 用 来 邮件 的 服务 器 。 
10.， 在 Postfix 中 可 以 使 用 简单 认证 安全 层 来 实现 基本 的 SMTP 认证 功能 。 
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二 、 问 答题 
什么 是 邮件 传输 代理 和 邮件 用 户 代理 ? 
简要 说 明 什么 是 SMTP、POP 和 IMAP。 
IMAP 和 POP 协议 的 区 别 是 什么 ? 
电子 邮件 系统 的 规划 一 般 遵循 什么 原则 ? 
用 sendmailmec 生成 sendmail.cf 文件 的 命令 是 什么 ? 
. ”Dovecot 软件 的 作用 是 什么 ? 主 配置 文件 是 哪个 ? 如 果 只 让 邮件 服务 器 支持 POP 
协议 ， 需 修改 Dovecot 主 配 置 文件 的 哪个 地 方 ? 

7. 启动 Dovecot 服务 需要 一 个 参数 C， 它 的 作用 是 什么 ? 

8. 在 Postfix 中 给 予 MySQL 认证 有 什么 好 处 ? 

三 、 上 机 实 训 

随 着 公司 经 营业 务 的 不 断 发 展 ， 员 工 数量 逐渐 增多 ， 同 时 根据 产品 的 开发 需要 ， 公 司 
决定 使 用 Postfix 电子 邮件 系统 ， 以 便 支 持 更 多 用 户 、 提 高 用 户 检索 和 管理 效率 。 

需求 描述 

(1) 使 用 MySQL 数据 库存 储 庶 拟 邮 件 用 户 的 账号 信息 。 

(2) 配置 使 用 Extmail 套件 : Extmail 为 普通 用 户 提供 Web 邮件 使 用 界面 ; Extman 为 
管理 员 提 供 管理 邮件 域 及 用 户 的 Web 界面 。 

(3) 添加 虚拟 邮件 域 show.com 、testcom ， 并 分 别 添 加 两 个 虚拟 邮件 用 户 
userl@show.com 和 user2@test.com. 

(4) 用 户 userl 和 user2 能 够 互相 发 送 、 收 取 邮 件 。 

(5) 通过 图 形 化 的 形式 查看 邮件 日 志 信息 。 

实现 思路 

(1) 配置 Postfix 邮件 系统 支持 虚拟 用 户 。 

(2) 安装 配置 Extmail 和 Extman 程序 套件 。 

(3) 使 用 Extman 管理 界面 : 添加 虚拟 邮件 域 show.com 和 test.com; 添加 虚拟 邮件 用 
户 userl@benet.com 和 user2@accp.com. 

(4) 使 用 Extmail 邮件 用 户 界面 : 分 别 以 用 户 userl1、user2 登录 ， 互 相 发 送 邮件 进行 
测试 。 

(5) 成 功 发 送 邮 件 后 ， 通 过 Extman 管理 平台 查看 图 形 日 志 信息 。 
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学 习 目的 与 要 求 : 


本 章 为 读者 介绍 Linux 下 的 防火 墙 原理 及 如 何 搭建 防火 墙 ， 设 置 iptables 架设 NAT 服 
务 器 ， 实 现 内 部 网 用 户 访问 Internet。 通 过 对 本 章 的 学 习 ， 读 者 应 该 做 到 以 下 几 点 。 
e@ 熟悉 防火 墙 的 3 种 类 型 。 
熟悉 包 过 滤 防 火 墙 的 工作 原理 。 
熟悉 iptables 防火 墙 表 、 链 、 规 则 的 关系 。 
熟练 使 用 iptables 中 filter 表 搭 建 防火 墙 。 
熟练 使 用 iptables 中 的 net 表 配 置地 址 转换 。 
熟练 使 用 squid 配置 代理 服务 器 。 
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14.1 防火 墙 概述 


所 谓 防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 在 内 部 网 和 外 部 网 之 间 、 专 用 网 与 
公共 网 之 间 的 界面 上 构造 的 保护 屏障 ， 是 一 种 获取 安全 性 方法 的 形象 说 法 。 它 是 一 种 计算 
机 硬件 和 软件 的 结合 ， 使 Internet 与 Intranet 之 间 建 立 起 一 个 安全 网 关 (Security Gateway)， 
从 而 保护 内 部 网 免 受 非法 用 户 的 侵入 。 


14.1.1 防火 墙 的 类 型 


防火 墙 有 多 种 形式 ， 可 以 以 软件 形式 运行 在 普通 计算 机 上 ， 也 可 以 以 固件 形式 设计 在 
路 由 中 。 总 体 来 说 其 分 为 3 种 : 包 过 滤 防 火 墙 、 应 用 级 网 关 和 状态 检测 防火 墙 。 

(1) 包 过 滤 防 火 墙 : 在 互联 网 这 样 的 TCP/IP 网 络 上 ， 所 有 往来 的 信息 都 被 分 割 成 一 定 
长 度 的 信息 包 ， 包 中 包含 了 发 送 者 的 IP 地 址 信息 和 接收 者 的 人 P 地 址 信息 。 当 这 些 信 息 被 
送 到 互联 网 后 ， 路 由 器 会 读 取 接 收 者 的 瑟 地 址 ， 选 择 一 条 合适 的 物理 路 径 发 送出 去 ， 信 息 
可 能 经 不 同 的 线路 抵达 目的 地 ， 当 所 有 的 包 抵 达 目 的 地 会 重新 组 装 还 原 。 包 过 滤 防 火 墙 会 
检查 所 有 通过 信息 的 他 地址 ， 并 按照 系统 管理 员 所 给 定 的 过 滤 规 则 进行 过 滤 。 

(2) 应 用 级 网 关 : 应 用 级 网 关 也 就 是 常 说 的 代理 服务 器 。 它 适用 于 特定 的 互联 网 服 
务 ， 如 HITP、FTP 等 。 代 理 服务 器 运行 在 内 部 网 和 外 网 之 间 ， 对 于 内 部 用 户 而 言 ， 它 是 
一 个 服务 器 ， 而 对 于 外 网 来 说 ， 它 是 一 个 客户 机 。 当 内 网 的 一 个 用 户 将 一 个 访问 外 部 网 络 
的 请 求 发 给 代理 服务 器 ， 代 理 服务 器 检查 请 求 是 否 符合 规则 ， 若 用 户 的 请 求 符合 允许 的 规 
则 ， 代 理 服务 器 会 像 一 个 客户 那样 去 访问 该 网 站 ， 取 回 所 需要 的 信息 再 转发 给 内 网 用 户 。 

代理 服务 器 有 一 个 高 速 缓存 ， 存 储 用 户 经 常 访 问 的 网 站 内 容 ， 当 另 一 个 用 户 访问 同样 
一 个 网 站 时 ， 代 理 服务 器 会 在 自己 的 缓存 中 把 信息 传递 ， 这 个 用 户 大 大 节省 了 时 间 ， 同 时 
也 提高 了 速度 。 代 理 服务 器 像 一 堵 墙 一 样 挡 在 内 部 用 户 和 外 界 之 间 ， 从 外 部 只 能 看 到 代理 
服务 器 ， 而 无 法 获知 内 部 资源 ， 更 有 效 地 保护 了 内 网 用 户 。 

G3) 状态 检测 防火 墙 这 种 防火 墙 具 有 非常 好 的 安全 特性 ， 它 使 用 了 在 网 关上 执行 网 
络 安全 策略 的 软件 模块 ， 称 为 检测 引擎 。 检 测 引擎 在 不 影响 网 络 正常 运行 的 前 提 下 ， 采 用 
抽取 相关 数据 的 方法 对 网 络 通信 的 各 层 实 施 监测 ， 抽 取 状 态 信息 并 动态 地 保护 起 来 作为 以 
后 执行 安全 策略 的 参考 。 与 前 两 种 防火 墙 不 同 的 是 ， 在 用 户 访问 请 求 到 达 网 关 之 前 ， 状 态 
监视 器 会 抽取 相关 数据 进行 分 析 ， 结 合 网 络 配置 和 安全 规定 做 出 接纳 、 拒 绝 、 身 份 认证 、 
报警 或 给 该 通信 加 密 等 处 理 动 作 。 一 旦 某 个 用 户 的 访问 违反 了 规则 ， 就 会 遭 到 拒绝 并 报告 
有 关 状 态 及 工作 日 志 记 录 。 


14.1.2 包 过 滤 防 护 墙 的 概念 
包 过 滤 防火 墙 是 用 一 个 软件 查看 所 流 经 的 数据 包 的 包头 (HeadeD， 由 此 决定 整个 包 的 
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命运 。 它 可 能 会 决定 丢弃 (Drop) 这 个 包 ， 可 能 会 接收 (Accept) 这 个 包 (让 这 个 包 通 过 )， 也 可 
能 执行 其 他 更 复杂 的 动作 。 

在 Linux 系统 下 ， 包 过 滤 功 能 是 内 建 于 核心 的 (作为 一 个 核心 模块 直接 内 建 )。 另 外 还 
有 一 些 可 以 运用 于 数据 包 之 上 的 技巧 ， 不 过 最 常用 的 依然 是 查看 包头 以 决定 包 的 命运 。 

包 过 滤 防 火 墙 将 对 每 一 个 接收 到 的 数据 包 做 出 允许 或 拒绝 的 决定 。 有 具体 地 讲 ， 它 针对 
每 一 个 数据 报 的 报头 ， 按 照 包 过 滤 规 则 进行 判定 ， 与 规则 相 匹配 的 包 依 据 路 由 信息 继续 转 
发 ， 否 则 就 丢弃 。 包 过 滤 是 在 IP 层 实现 的 ， 包 过 滤 根 据 数据 包 的 源 卫 地址、 目的 人 地 
址 、 协 议 类 型 (TCP 包 、UDP 包 、ICMP 包 ) 源 端口 、 目 的 端口 等 报头 信息 及 数据 包 传 输 方 
向 等 信息 来 判断 是 否 允 许 数据 包 通过 。 

包 过 滤 也 包括 与 服务 相关 的 过 滤 ， 这 是 指 基于 特定 的 服务 进行 包 过 滤 。 由 于 绝 大 多 数 
服务 的 监听 都 驻 留 在 特定 TCP/UDP 端口 ， 因 此 为 阻 断 所 有 进入 特定 服务 的 链接 ， 防 火 墙 
只 需 将 所 有 包含 特定 TCP/UDP 目的 端口 的 包 丢 弃 即 可 。 

包 过 滤 是 一 种 内 置 于 Linux 内 核 在 路 由 功能 之 上 的 防火 墙 类 型 ， 其 防火 墙 工 作 在 网 络 层 。 


14.1.3” 包 过 滤 防 火 墙 的 工作 原理 


1. 过 滤 路 由 器 


使 用 过 滤器 过 滤 数 据 包 ， 用 在 内 部 主机 和 外 部 主机 之 间 。 过 滤 系 统 是 一 台 路 由 器 或 一 
台 主 机 ， 过 滤 系 统 根 据 过 滤 规 则 来 决定 是 否 让 数据 包 通 过 ， 用 于 过 渡 数 据 包 的 路 由 器 被 称 
为 过 滤 路 由 器 ， 如 图 14-1 所 示 。 
根据 防火 时 的 安全 


策略 来 决 于 取 止 还 
是 转发 数据 包 


Linux 防 火 墙 


14-1 过 滤 路 由 器 示意 图 
数据 包 过 滤 是 通过 对 数据 包 的 他 头 和 TCP 头 或 UDP 头 的 检查 来 实现 的 ， 主 要 信息 如 下 。 
@ 卫 源 地 址 。 
卫 目标 地 址 。 
协议 (TCP 包 、UDP 包 和 ICMP 包 )。 
TCP 或 UDP 包 的 源 端口 。 
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@ TCP 或 UDP 包 的 目标 端口 。 

@ ICMP 消息 类 型 。 

@ TCP 包头 中 的 ACK 位 。 

@ ”数据 包 到 达 的 端口 。 

@ 数据 包 出 去 的 端口 。 

在 TCP/IP 中 存在 着 一 些 标准 的 服务 端口 号 ， 如 HTTP 的 端口 号 为 80。 通 过 屏蔽 特定 
的 端口 可 以 禁止 特定 的 服务 ， 包 过 滤 系 统 可 以 阻塞 内 部 主机 和 外 部 主机 或 另外 一 个 网 络 之 
间 的 连接 ， 如 可 以 阻塞 一 些 被 视 为 是 有 敌意 的 或 不 可 信 的 主机 或 网 络 连接 到 内 部 网 络 中 。 


2. 过 滤 的 实现 


数据 包 过 滤 一 般 使 用 过 滤 路 由 器 来 实现 。 这 种 路 由 器 与 普通 的 路 由 器 有 所 不 同 ， 普 通 
的 路 由 器 只 检查 数据 包 的 目标 地 址 ， 并 选择 一 个 达到 目的 地 址 的 最 佳 路 径 。 它 处 理 数据 包 
是 以 目标 地 址 为 基础 的 ， 存 在 着 两 种 可 能 性 。 若 路 由 器 可 以 找到 一 个 路 径 到 达 目 标 地 址 ， 
则 发 送出 去 ， 若 路 由 器 不 知道 如 何 发 送 数据 包 ， 则 通知 数据 包 的 发 送 者 “数据 包 不 可 达 ”。 

过 滤 路 由 器 会 更 加 仔细 地 检查 数据 包 ， 除 了 决定 是 否 有 到 达 目 标 地址 的 路 径 外 ， 还 要 
决定 是 否 应 该 发 送 数据 包 ，“ 应 该 与 否 ” 是 由 路 器 的 过 滤 策略 决定 并 强行 执行 的 。 

路 由 器 的 过 滤 策 略 如 下 。 

e@ ”拒绝 来 自 某 主 机 或 某 网 段 的 所 有 连接 。 
允许 来 自 某 主机 或 某 网 段 的 所 有 连接 。 
拒绝 来 自 某 主 机 或 某 网 段 的 指定 端口 的 连接 。 
人 允许 来 自 某 主机 或 某 网 段 的 指定 端口 的 连接 。 
拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 
允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 所 有 连接 。 
拒绝 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 
允许 本 地 主机 或 本 地 网 络 与 其 他 主机 或 其 他 网 络 的 指定 端口 的 连接 。 

3. 包 过 滤器 操作 的 基本 过 程 

图 14-2 所 示 为 包 过 滤 的 操作 流程 图 。 

下 面 做 简单 叙述 。 

(1) 包 过 滤 规 则 必须 被 包 过 滤 设 备 端口 存储 起 来 。 

(2) 当 包 到 达 端 口 时 ， 对 包 报头 进行 语法 分 析 ， 大 多 数 包 过 滤 设 备 只 检查 全、TCP 或 
UDP 报头 中 的 字段 。 

G3) 包 过 滤 规 则 以 特殊 的 方式 存储 ， 应 用 于 包 规 则 的 顺序 与 包 过 滤器 规则 存储 顺序 必 
须 相 同 。 

(4) 若 一 条 规则 阻止 包 传输 或 接收 ， 则 此 包 便 不 被 允许 。 

(5) 若 一 条 规则 允许 包 传输 或 接收 ， 则 此 包 便 可 以 被 继续 处 理 。 

(6) 若 包 不 满足 任何 一 条 规则 ， 则 此 包 便 被 阻塞 。 
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存储 包 过 滤 规 则 


分 析 数 据 包 头 
IP、 UDP、 TCP 


应 用 到 下 一 个 规则 
否 
阻塞 传输 
否 


14-2 包 过 滤 的 操作 流程 图 
4. 包 过 滤 技 术 的 优 缺 点 


(1) 包 过 滤 技 术 的 优点 如 下 。 

@ 对 于 一 个 小 型 的 、 不 太 复杂 的 站 点 ， 包 过 滤 比 较 容易 实现 。 

e@ 因为 过 滤 路 由 器 工作 在 瑟 层 和 TCP 层 ， 所 以 处 理 包 的 速度 比 代 理 服务 器 快 。 

@ ”过 滤 路 由 器 为 用 户 提供 了 一 种 透明 的 服务 ， 用 户 不 需要 改变 客户 端的 任何 应 用 程 
序 ， 也 不 需要 用 户 学 习 任 何 新 的 东西 ， 因 为 过 滤 路 由 器 工作 在 人 P 层 和 TCP 层 ， 
而 瑟 层 和 TCP 层 与 应 用 层 毫 不 相关 ， 所 以 过 滤 路 由 器 有 时 也 被 称 为 “ 包 过 滤 网 
关 ” 或 “透明 网 关 ”。 之 所 以 被 称 为 网 关 ， 是 因为 包 过 滤 路 由 器 和 传统 路 由 器 不 
同 ， 它 涉及 传输 层 。 

@ ”过 滤 路 由 器 在 价格 上 一 般 比 代理 服务 器 低 。 

(2) 包 过 滤 技 术 的 缺点 如 下 。 

® ”一 些 包 过 滤 网 关 不 支持 有 效 的 用 户 认证 。 

@ ”规则 表 很 快 会 变 得 很 大 ， 而 且 复 杂 规 则 很 难 测试 。 随 着 表 的 增 大 和 复杂 性 的 增 
加 ， 规 则 结构 出 现 漏洞 的 可 能 性 也 会 增加 。 

@ ”这 种 防火 墙 最 大 的 缺陷 是 依赖 一 个 单一 的 部 件 保护 系统 。 如 果 这 个 部 件 出 现 了 问 
题 ， 会 使 得 网 络 大 门 敞 开 ， 而 用 户 可 能 还 不 知道 。 

@ 在 一 般 情 况 下 ， 如 果 外 部 用 户 被 允许 访问 内 部 主机 ， 则 它 就 可 以 访问 内 部 网 上 的 
任何 主机 。 

@ 。 包 过 滤 防 火 墙 只 能 阻止 一 种 类 型 的 人 P 欺骗 ， 即 外 部 主机 伪装 内 部 主机 的 玉 ， 对 
于 外 部 主机 伪装 外 部 主机 的 下 欺骗 却 不 能 阻止 ， 而 且 它 不 能 防止 DNS 欺骗 。 
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虽然 包 过 滤 防 火 墙 有 如 上 所 述 的 缺点 ， 但 是 在 管理 良好 的 小 规模 网 络 上 ， 它 能 够 正常 
发 挥 其 作用 。 一 般 情况 下 ， 人 们 不 单独 使 用 包 过 滤 网 关 ， 而 是 将 它 和 其 他 设备 (如 堡垒 主机 
等 ) 联 合 使 用 。 

包 过 滤 的 工作 是 通过 查看 数据 包 的 源 地 址 、 目 的 地 址 或 端口 来 实现 的 ， 一 般 来 说 ， 它 
不 保持 前 后 连接 ， 信 息 过 滤 决 定 是 根据 当前 数据 包 的 内 容 来 做 的 。 管 理 员 可 以 做 一 个 可 接 
收 机 和 服务 的 列表 ， 以 及 一 个 不 可 接收 机 和 服务 的 列表 。 在 主机 和 网 络 一 级 利用 数据 包 过 
滤 ， 很 容易 实现 允许 或 禁止 访问 。 

由 此 不 难看 出 这 个 层次 的 防火 墙 的 优点 和 弱点 ， 由 于 防火 墙 只 是 工作 在 OSI 的 第 三 层 
(网 络 层 ) 和 第 四 层 ( 传 输 层 )， 因 此 包 过 滤 的 防火 墙 的 一 个 非常 明显 的 优势 就 是 速度 ， 这 是 因 
为 防火 墙 只 是 去 检查 数据 报 的 报头 ， 而 对 数据 报 所 携带 的 内 容 没有 任何 形势 的 检查 ， 因 此 
速度 非常 快 。 与 此 同时 ， 这 种 防火 墙 的 缺点 也 是 显而易见 的 ， 比 较 关键 的 几 点 如 下 所 述 。 

(1) 由 于 无 法 对 数据 报 的 内 容 进 行 核查 ， 一 次 无 法 过 滤 或 审核 数据 报 的 内 容 。 

体现 这 一 问题 的 一 个 很 简单 的 例子 就 是 : 对 某 个 端口 的 开放 意味 着 相应 端口 对 应 的 服 
务 所 能 够 提供 的 全 部 功能 都 被 开放 ， 即 使 通过 防火 墙 的 数据 报 有 攻击 性 ， 也 无 法 进行 控制 
和 阻 断 。 例 如 ， 在 一 个 简单 的 Web 服务 器 上 ， 包 过 滤 的 防火 墙 无 法 对 数据 报 内 容 进行 核 
查 。 因 此 未 打 相 应 补丁 的 提供 Web 服务 的 系统 ， 即 使 在 防火 墙 的 屏蔽 之 后 ， 也 会 被 攻击 ， 
被 轻易 获取 超级 用 户 的 权限 。 

(2) 由 于 此 种 类 型 的 防火 墙 工 作 在 较 低层 次 ， 防 火 墙 本 身 所 能 接触 到 的 信息 较 少 ， 所 
以 它 无 法 提供 描述 细致 事件 的 日 志 系统 。 

此 类 防火 墙 生成 的 日 志 常 常 只 是 包括 数据 报 捕获 的 时 间 、 网 络 层 的 瑟 地 址 、 传 输 层 的 
端口 等 非常 原始 的 信息 。 至 于 这 个 数据 报 内 容 是 什么 ， 防 火 墙 不 会 理会 ， 而 这 对 安全 管理 
员 而 言 恰恰 是 很 关键 的 。 因 为 即使 一 个 非常 优秀 的 系统 管理 员 ， 一 旦 陷入 大 量 的 通过 或 屏 
蔽 的 原始 数据 包 信息 中 ， 往 往 也 难以 理 清 头绪 ， 这 在 发 生 安全 事件 时 给 管理 员 的 安全 审计 
带 来 很 大 的 困难 。 

(3) 所 有 可 能 用 到 的 端口 (尤其 是 大 于 1024 的 端口 ) 都 必须 开放 ， 对 外 界 暴 露 ， 从 而 极 
大 地 增加 了 被 攻击 的 可 能 性 。 

通常 对 于 网 络 上 所 有 服务 所 需要 的 数据 包 进 出 防火 墙 的 端口 都 要 仔细 考虑 ， 否 则 会 产 
生意 想不到 的 情况 。 然 而 众所周知 当 被 防火 墙 保护 的 设备 与 外 界 通信 时 ， 绝 大 多 数 应 用 要 
求 发 出 请 求 的 系统 本 身 提 供 一 个 端口 ， 用 来 接收 外 界 返 回 的 数据 包 ， 而 且 这 个 端口 一 般 在 
1024 一 65536 之 间 ， 并 不 确定 ， 如 果 不 开 放 这 些 端口 ， 通 信 将 无 法 完成 ， 这 样 就 需要 开放 
1024 以 上 的 全 部 端口 ， 允 许 这 些 端口 的 数据 包 进出 ， 而 这 就 带 来 非常 大 的 安全 隐患 。 例 
如 ， 用 户 网 中 有 一 台 Unix 服务 器 ， 对 内 部 用 户 开放 了 RPC 服务 ， 而 这 个 服务 是 用 在 高 端 
口 的 ， 那 么 这 台 服 务 器 非常 容易 遭 到 基于 RPC 应 用 的 攻击 。 

(4) 如 果 网 络 结构 比较 复杂 ， 那 么 对 管理 员 而 言 ， 配 置 访问 控制 规则 将 非常 困难 。 

当 网 络 发 展 到 一 定 规模 时 ， 在 路 由 器 上 配置 访问 控制 规则 将 会 非常 烦琐 ， 在 一 个 规则 
甚至 一 个 地 址 处 出 现 错误 ， 都 有 可 能 导致 整个 访问 控制 列表 无 法 正常 使 用 。 
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14.1.4 netfilter/iptables 防火 墙 架 构 


Linux 从 内 核 1.1 开始 就 具有 包 过 滤 功 能 了 。 随 着 Linux 内 核 版 本 的 不 断 升 级 ，Linux 
的 包 过 滤 经 历 了 3 个 阶段 ， 即 Ipfwadm 包 过 滤 规 则 、Ipchains 包 过 滤 规 则 和 Iptables 包 过 滤 
规则 。 

Linux 因 其 健壮 性 、 可 靠 性 、 灵 活性 及 几乎 无 限 范围 的 可 定制 性 而 在 IT 界 变 得 非常 受 
欢迎 。Linux 具有 许多 内 置 的 能 力 ， 使 开发 人 员 可 以 根据 自己 的 需要 定制 其 工具 、 行 为 和 
外 观 ， 而 无 须 昂贵 的 第 三 方 工具 。 如 果 Linux 系统 连接 到 因特网 或 LAN、 服 务 器 或 连接 
LAN 和 因特网 的 代理 服务 器 ， 所 要 用 到 的 一 种 内 置 能 力 就 是 针对 网 络 上 Linux 系统 的 防火 
墙 配 置 。 

netfilter 是 一 种 内 核 中 用 于 扩展 各 种 网 络 服务 的 结构 化 底层 构架 ， 其 设计 思想 是 生成 一 
个 模块 结构 ， 使 之 能 够 比较 容易 的 扩展 ， 新 的 特性 加 入 内 核 中 并 不 需要 重新 启动 内 核 ， 这 
样 可 以 简单 地 构造 一 个 内 核 模块 来 实现 网 络 新 特性 的 扩展 ， 为 底层 的 网 络 特性 扩展 带 来 极 
大 的 便利 ， 使 更 多 从 事 网 络 底层 研发 的 人 员 能 够 集中 精力 实现 新 的 网 络 特性 。 

事实 上 ， 可 以 将 netfilter 视 为 网 络 协议 堆栈 中 可 以 让 其 他 模块 操作 网 络 数据 包 的 一 系 
列 “ 钩 子 ”， 在 数据 包 通 过 协议 堆栈 的 某 些 特定 的 点 上 ，netfilter 框架 允许 一 个 模块 转发 或 
丢弃 数据 包 、 通 过 某 种 方式 改变 数据 包 、 在 用 户 空间 ( 非 内 核 模 式 ) 对 包 进 行 排队 ， 当 然 也 
可 以 根本 不 去 干涉 它 。 

1. netfilteriptables 系统 的 含义 


在 高 于 Linux 2.4 的 内 核 中 ，netfilter 是 新 的 用 来 实现 防火 墙 的 过 滤器 。iptables 是 用 来 
指定 netfilter 规则 的 用 户 工具 。 

iptables 只 是 一 个 管理 内 核 包 过 滤 的 工具 ， 它 为 用 户 配 置 防火 墙 规则 提供 了 方便 。 

iptables 可 以 加 入 、 插 入 或 删除 核心 包 过 滤 表 ( 链 ) 中 的 规则 。 实 际 上 真正 来 执行 这 些 规 
则 的 是 netfilter 及 其 相关 模块 (如 iptables 模块 和 nat 模块 等 )。 因 此 ， 要 使 用 netfilter/iptables 
系统 ， 必 须 首先 有 2.4 版 本 内 核 或 更 高 内 核 的 相关 支持 ， 同 时 必须 安装 iptables 软件 包 。 现 
在 一 般 的 Linux 操作 系统 中 是 默认 安装 的 。 


2. netfilter/iptables 系统 的 优点 


netfilter/iptables 的 最 大 优点 是 它 可 以 配置 有 状态 的 防火 墙 ， 这 是 ipfwadm 和 ipchains 
等 以 前 的 工具 都 无 法 提供 的 一 种 重要 功能 。 有 状态 的 防火 墙 能 够 指定 并 记 住 为 发 送 或 接收 
信息 包 所 建立 的 连接 的 状态 ， 防 火 墙 可 以 从 信息 包 的 连接 跟踪 状态 获得 该 信息 。 在 决定 新 
的 信息 包 过 滤 时 ， 防 火 墙 所 使 用 的 这 些 状态 信息 可 以 增加 其 效率 和 速度 。 有 4 种 有 效 状 
态 ， 分 别 为 ESTABLISHED、INVALID、NEW 和 RELATED。 
@ ”状态 ESTABLISHED 指出 该 信息 包 属于 已 建立 的 连接 ， 该 连接 一 直 用 于 发 送 和 接 
收 信息 包 ， 并 且 完 全 有 效 。 
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@ 状态 INVALID 指出 该 信息 包 与 任何 已 知 的 流 或 连接 都 不 相关 联 ， 它 可 能 包含 错 
误 的 数据 或 头 。 
@ 状态 NEW 意味 着 该 项 信息 包 已 经 或 将 启动 新 的 连接 ， 或 者 它 与 尚未 用 于 发 送 和 
接收 信息 包 的 连接 相关 联 。 
@ ”状态 RELATED 表示 该 信息 包 正 在 启动 新 连接 ， 以 及 它 与 已 建立 的 连接 相关 联 。 
netfilter/iptables 的 另 一 个 重要 优点 是 ， 它 使 用 户 可 以 完全 控制 防火 墙 配 置 和 信息 包 过 
滤 。 用 户 可 以 定制 自己 的 规则 来 满足 特定 需求 ， 从 而 只 允许 用 户 想 要 的 网 络 流量 进入 系统 。 
此 外 ，netfilter/iptables 是 免费 的 ， 这 对 于 那些 想 要 节省 费用 的 人 来 说 十 分 理想 ， 它 可 
以 代 蔡 昂贵 的 防火 墙 解决 方案 。 
总 之 ,在 2.4.x 及 以 上 的 内 核 中 具有 netfilter/iptables 系统 这 种 内 置 的 IP 信息 包 过 滤 工 
具 ， 它 使 配置 防火 墙 和 信息 包 过 滤 变 得 便宜 且 方便 。netfilteviptables 系统 使 其 用 户 可 以 完 
全 控制 防火 墙 配置 和 信息 包 过 滤 。 它 允许 为 防火 墙 建立 可 定制 化 的 规则 来 控制 信息 包 过 
滤 ， 还 允许 配置 有 状态 的 防火 墙 。 


3. netfilter/iptables 的 内 核 空间 和 用 户 空间 


虽然 netfilter/iptables IP 信息 包 过 滤 系 统 被 称 为 单个 实体 ， 但 它 实 际 上 由 两 个 组 件 
netfilter 和 iptables 组 成 。 

(1) 内 核 空 间 。netfilter 组 件 也 称 为 内 核 空间 (Kernel Space)， 是 内 核 的 一 部 分 ， 由 一 些 
“ 表 ”(Table) 组 成 ， 每 个 表 由 若干 “ 链 ” 组 成 ， 而 每 条 链 中 可 以 有 一 条 或 数 条 规则 (Rule)。 

(2) 用 户 空 间 。iptables 组 件 是 一 种 工具 ， 也 称 为 用 户 空间 (User Space)， 它 使 插入 、 修 
改 和 除去 信息 包 过 滤 表 中 的 规则 变 得 容易 。 可 以 这 样 理解 ，netfilter 包含 表 ， 表 包含 链 ， 链 
包含 规则 。 


4. netfilter/iptables 过 滤 系 统 的 工作 过 程 


netfilter/iptables IP 信息 包 过 滤 系 统 是 一 种 功能 强大 的 工具 ， 可 用 于 添加 、 编 辑 和 除去 
规则 ， 这 些 规 则 是 在 做 包 过 滤 决 定时 所 遵循 的 依据 。 这 些 规则 存储 在 专用 的 信息 包 过 滤 表 
中 ， 而 这 些 表 集 成 在 Linux 内 核 中 。 在 信息 包 过 滤 表 中 ， 规 则 被 分 组 存在 链 (Chain) 中 。 

(1) 用 户 使 用 iptables 命令 在 用 户 空间 设置 过 滤 规则 。 通 过 使 用 用 户 空间 可 以 构建 用 户 
自己 的 定制 过 滤 规 则 ， 这 些 规则 存储 在 内 核 空间 的 信息 包 过 滤 表 中 。 这 些 规 则 具有 目标 ， 
它们 告诉 内 核对 来 自 某 些 源 、 前 往 某 些 目的 地 或 具有 某 些 协议 类 型 的 信息 包 做 些 什么 ， 如 
果 某 个 信息 包 与 规则 匹配 ， 那 么 使 用 目标 ACCEPT 人 允许 该 信息 包 通 过 。 还 可 以 使 用 目标 
DROP 或 REJECT 来 阻塞 并 杀 死 信息 包 。 

根据 规则 所 处 理 的 信息 包 的 类 型 ， 可 以 将 规则 分 组 在 链 中 。 

@ ”处 理 入 站 信息 包 的 规则 被 添加 到 INPUT 链 中 。 

@ ”处 理 出 站 信息 包 的 规则 被 添加 到 OUTPUT 链 中 。 

@ ”处 理 正 在 转发 的 信息 包 的 规则 被 添加 到 FORWARD 链 中 。 

这 3 个 链 是 系统 默认 表 (filter) 中 内 置 的 3 个 默认 主 链 。 每 个 链 都 有 一 个 策略 ， 它 定义 默 
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认 目 标 ， 也 就 是 要 执行 的 默认 操作 ， 当 信息 包 与 链 中 的 任何 规则 都 不 匹配 时 ， 执 行 此 操作 。 
(2) 内 核 空间 接管 过 滤 工作 ， 当 规则 建立 并 将 链 放 在 filter 表 之 后 ， 就 可 以 开始 进行 真 
正 的 信息 包 过 滤 工 作 了 ， 这 时 内 核 空间 从 用 户 空间 接管 工作 。 
包 过 滤 工 作 要 经 过 如 下 步骤 。 
@ 路 由 ; 当 信息 包 到 达 防 火 墙 时 ， 内 核 先 检查 信息 包 的 头 信 息 ， 尤 其 是 信息 包 的 目 
的 地 。 我 们 将 这 个 过 程 称 为 路 由 。 
@ 根据 情况 将 数据 包 送 往 包 过 滤 表 (filteD 的 不 同 的 链 。 
@ ”如 果 信 息 包 源 自 外 界 并 且 数 据 包 的 目的 地 址 是 本 机 ， 而 且 防 火 墙 是 打开 的 ， 那 么 
内 核 将 它 传递 到 内 核 空间 信息 包 过 滤 表 的 INPUT 链 。 
@ 如果 信息 包 源 自 系统 本 机 ， 并 且 此 信息 包 要 前 往 另 一 个 系统 ， 那 么 信息 包 被 传递 
到 OUTPUT 链 。 
@ ”信息 包 源 自 广域网 前 往 局 域 网 或 相反 方向 的 信息 包 被 传递 到 FORWARD 链 。 
@ 规则 检查 ;将 信息 包 的 头 信息 与 它 所 传递 到 的 链 中 的 每 条 规则 进行 比较 ， 看 它 是 
否 与 某 条 规则 完全 匹配 。 
@ ”如 果 信 息 包 与 某 条 规则 匹配 ， 那 么 内 核 就 对 该 信息 包 执行 由 该 项 规则 的 目标 指定 
的 操作 。 
。 ”如果 目标 为 ACCEPT， 则 允许 该 信息 包 通 过 ， 并 将 该 包 发 给 相应 的 本 地 进程 
处 理 。 
* ”如果 目标 为 DROP 或 REJECT， 则 不 允许 该 信息 包 通 过 ， 并 将 该 包 阻 塞 并 
杀 死 。 
@ 如果 信息 包 与 这 条 规则 不 匹配 ， 那 么 它 将 与 链 中 的 下 一 条 规则 进行 比较 。 
@ 最后， 如 果 信 息 包 与 链 中 的 任何 规则 都 不 匹配 ， 那 么 内 核 将 参考 该 链 的 策略 来 决 
定 如 何 处 理 该 信息 包 。 理 想 的 策略 应 该 告诉 内 核 DROP 该 信息 包 。 


14.2 ”使 用 iptables 实现 包 过 滤 防 火 墙 


Linux 提供 了 一 个 非常 优秀 的 防火 墙 工具 一 一 netfilterviptables。 它 完全 免费 、 功 能 强 
大 、 使 用 灵活 ， 可 以 对 流入 和 流出 的 信息 进行 细 化 控制 ， 且 可 以 在 一 台 低 配 置 机 器 上 很 好 
地 运行 。 下 面 介绍 使 用 iptables 实现 包 过 滤 防 火 墙 。 


14.2.1 iptables 的 语法 规则 


典型 的 防火 墙 设置 有 两 个 网 卡 : 一 个 流入 ， 一 个 流出 。iptables 读 取 流入 和 流出 数据 包 
的 报头 ， 将 它们 与 规则 集 (Ruleset) 相 比较 ， 将 可 接收 的 数据 包 从 一 个 网 卡 转发 至 另 一 个 网 
卡 ， 对 被 拒绝 的 数据 包 ， 可 以 丢弃 或 按照 所 定义 的 方式 来 处 理 。 

通过 向 防火 墙 提供 有 关 对 来 自 某 个 源 地 址 、 到 某 个 目的 地 或 具有 特定 协议 类 型 的 信息 
包 要 做 出 的 指令 ， 按 规则 控制 信息 包 的 过 滤 。 通 过 使 用 iptables 系统 提供 的 特殊 命令 ， 
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iptables 建立 这 些 规则 ， 并 将 其 添加 到 内 核 空间 特定 信息 包 过 滤 表 内 的 链 中 。 添 加 、 去 除 、 
编辑 规则 命令 的 一 般 语 法 如 下 。 


iptables [-t table] command [match] [target] 


1. 表 (table) 
[-t table] 选 项 允许 使 用 标准 表 之 外 的 任何 表 。 表 是 包含 仅 处 理 特定 类 型 信息 包 的 规则 
和 链 的 信息 包 过 滤 表 。 它 有 3 个 可 用 的 表 选 项 : filter、nat 和 mangle。 该 选项 不 是 必需 
的 ， 如 果 未 指定 ， 则 fiter 作为 默认 表 。 各 表 实 现 的 功能 如 表 14-1 所 示 。 
表 14-1 3 种 表 实现 的 功能 


表 名 
filter 


nat 


实现 功能 
用 于 一 般 的 信息 包 过 滤 ， 包 含 INPUT、OUTPUT 和 FORWARD 链 
用 于 要 转发 的 信息 包 ， 包 含 PREROUTING、OUTPUT 和 PSTROUTING 链 
包含 一 些 规则 来 标记 用 于 高 级 路 由 的 信息 包 ， 包 含 PREROUTING 和 OUTPUT 链 。 如 果 信 
息 包 及 其 头 内 进行 了 任何 更 改 ， 则 使 用 该 表 ， 本 文 不 讨论 该 表 


Iangle 


2. 命令 (command) 


command 部 分 是 iptables 命令 最 重要 的 部 分 ， 也 是 具有 强制 性 的 部 分 。 它 告诉 iptables 
命令 要 做 什么 ， 如 插入 规则 、 将 规则 添加 到 链 的 末尾 或 删除 规则 。 以 下 是 最 常用 的 一 些 


命令 。 
(1) -A 或 --append : 该 命令 是 加 入 一 条 或 多 条 规则 到 链 的 尾部 。 
例如 : 


plroot@localhost ~]# iptables -A OUTPUT -d 192.168.0.0/24 -j DROP 


上 述 命 令 的 意思 为 将 一 条 规则 追加 到 OUTPUT 链 中 ， 从 OUTPUT 链 出 去 的 包 凡 是 访 
问 192.168.0.0/24 网 络 的 全 部 拒绝 。 

(2) -D 或 --delete: 通过 使 用 “-D” 指 定 要 匹配 的 规则 或 者 指定 规则 在 链 中 的 位 置 编 
号 ， 该 命令 从 链 中 删除 该 规则 。 下 面 的 示例 显示 了 这 两 种 方法 。 

例如 : 

[root@localhost ~]# iptables -D OUTPUT -d 192.168.0.0/24 -j DROP 

[root@localhost ~]# iptables -D OUTPUT 1 

第 一 条 命令 从 OUTPUT 链 中 删除 规则 ， 指 定 DROP 到 达 192.168.0.0 网 络 的 信息 包 ， 
第 二 条 命令 删除 OUTPUT 链 中 的 第 一 个 规则 。 

(3) -R 或 --replace: 表示 蔡 换 某 一 个 链 中 的 一 个 规则 。 

例如 : 


[root@localhost ~]# iptables -R OUTPUT 1 -d 192.168.0.0/24 -j ACCEPT 


第 14 章 Linux 防火 墙 及 NAT i 只 


该 命令 的 意思 为 将 OUTPUT 链 中 的 第 一 个 规则 蔡 换 成 匹配 的 目的 地 址 是 192.168.0.0/24 


的 数据 包 通 过 。 
(4) -P 或 -policy: 指定 链 的 默认 规则 ， 即 DROP 或 ACCEPT 允许 或 拒绝 。 
例如 : 


[root@localhost ~]# iptables -P INPUT DROP 


该 命令 的 意思 为 把 INPUT 链 ， 默 认 规则 指定 为 DROP， 将 所 有 通过 INPUT 链 的 数据 
包 丢 弃 。 

(5) -N 或 --new-chain: 创建 一 个 新 的 用 户 自 定义 链 ， 名 称 不 能 和 已 有 链 的 名 称 冲突 。 

例如 : 


[root@localhost ~]# iptables -N allow-chain 


创建 一 个 名 称 为 allow-chain 的 用 户 链 。 

(6) -XX 或 --delete-chain: 删除 用 户 自 定义 链 ， 保 证 链 中 的 规则 不 再 使 用 时 才能 删除 ， 如 
果 不 指定 自 定义 链 的 名 称 ， 则 表示 删除 所 有 用 户 自 定义 链 。 

例如 : 

[root@localhost ~]# iptables -X allow-chain 

该 命令 的 意思 为 删除 用 户 自 定义 链 allow-chain。 

(7) -或 --flush: 清楚 链 中 的 所 有 规则 如 果 不 指定 链 名 称 ， 则 表示 清楚 所 有 链 的 规则 。 

例如 : 

[root@localhost ~]# iptables -F INPUT 

该 命令 的 意思 为 清楚 INPUT 链 中 的 所 有 规则 。 

(8) 工 或 --insert: 在 选 定 的 链 中 向 给 定 规则 号 的 前 面 出 入 一 条 规则 ， 如 规则 号 是 2， 那 
么 插入 的 规则 变 成 2， 原 有 规则 向 下 推 1。 如 图 14-3 和 图 14-4 所 示 。 


Te 


图 14-3 出 入 前 的 规则 
图 14-3 在 使 用 插入 命令 之 前 查看 iptables 规则 (加 上 一 个 参数 --line-number 显示 规则 
号 )， 使 用 如 下 命令 。 
[root@localhost ~]# iptables -I OUTPUT 2 -p udp --dport 53 -j ACCEPT 
该 命令 的 意思 为 在 规则 2 的 前 面 插入 一 个 规则 ， 人 允许 目的 端口 为 53(DNS 端口 ) 的 数据 
包 通 过 ， 如 图 14-4 所 示 。 
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Treotaiocaihosr “J ipiables -1 OmUT 2 -up —dport 53 -] AGOEPT 
[root@localhost ~]# iptables -L 一 line-nunber 
hain INPUT (policy DROP) 

num target prot opt source destination 
Chain FORWRD (policy ACCEPT) 
num target prot opt source destination 
hain OPUT (policy ACCEPT) 


prot opt source destination 


1 ACEPT all 一 anywhere 192.168.0.0/24 

2 ACEPT wp 一 anywhere anywhere udp dptdomain 
3 MCEPT tcp 一 anyvhere anywhere tcp spt:s 中 

4 ACEPT tcp 一 anywhere anywhere tcp spt:htip 
5 MCEPT Icp 一 anywhere anywhere tep pt: fip 


14-4 ”出 入 规则 之 后 


(9) -C 或 --check: 检查 给 定 的 包 是 否 与 指定 链 中 的 规则 相 匹 配 。 
(10) -Z 或 --zero: 将 指定 链 中 所 有 规则 的 包 字 节 计数 器 清 零 。 封 包 计数 器 用 来 计算 封 
包 出 现 次 数 ， 是 过 滤 阻 断 式 攻击 不 可 或 缺 的 工具 ， 如 图 14-5 所 示 。 


[ETE ETL TT TH Jpubles- | 
[chain INPUT (policy DROP 181 packe!s, 27628 bytes) 


[rooiocalhost “J]# iptables -Z 
[root@localhost “J]# iptables -L -~ 
[ain INPUT (policy PROP 0 packets, ob 


ytes) 


pkts bytes target prot opt in out source destination 
[hain FORWRD (policy ACCEPT 0 packets, 0 bytes) 
pkts bytes target prot opt in ‘out source destination 
hain OUTPUT (policy AOCEPT 0 packers, 0 bytes) 

ytes target protopl in ou source destination 


pkts bytes target prot opt in out source destination 
[hain FORWRD (poliey ACCEPT 0 packets, 0 bytes) 
pktisbytes target prot opt in 。 out source destination 
[hain aumur (policy AaCEPT 19 packets, 1717 bytes) 
tes target prot opt in 。 out source destination 
Mo37 ACCEPT all 一 any any anywhere 192.168.0.0/24 
785 ACCEPT udp 一 any any ~ anywhere anywhere udp dpt:dommi 
hn 
0 ACCEPT any anywhere anywhere tep spl:ssh 
0 ACCEPT any anywhere anywhere tcp spt:http 
0 ACCEPT any anywhere anywhere tep spt: fip 


0 AQCEPT all 一 any any anywhere 192.168.0.0/24 

0 ACCEPFT udp 一 any any anywhere anywhere udp dpt:donmin 
0 ACCEPT tcp amy any anywhere anywhere tep wp:ssh 

0 ACCEPT tep any any anywhere anywhere tep sptzhttp 
0 ACCEPT ep any any anywhere anywhere tep spl:fip 


图 14-5 出 入 规则 之 前 
根据 用 户 给 出 的 名 字 对 指定 链 进 行 重 命名 ， 这 仅仅 是 修饰 ， 对 整个 表 的 结构 


(11) -E: 
没有 影响 。 
例如 : 


iptables -E old-chain-name new-chain-name 


“J 旧 的 链 名 新 的 链 名 ” 指 用 新 的 链 名 取代 旧 的 链 名 。 
(12) -h help: 帮助 。 给 出 当前 命令 语法 非常 简短 的 说 明 。 


3. 规则 匹配 (match) 


iptables 命令 中 的 match 为 可 选 部 分 ， 即 如 果 不 加 上 匹配 规则 是 对 整个 链 ， 或 全 部 
ACCEPT 或 全 部 DROP， 如 iptables -A INPUT -j DROP。 如 果 添 加 上 规则 匹配 可 以 匹配 协 
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议 、 源 地 址 、 目 的 地 址 、 源 端口 号 、 目 的 端口 号 及 网 卡 接口 等 。 下 面 一 一 进行 介绍 。 

(1) -p 或 -protocol: 匹配 协议 ， 可 以 使 udp、tcp、icmp 中 的 某 一 个 ， 或 是 all 全 部 协 
议 。 如 协议 名 前 面 加 “! ”是 逻辑 “ 非 ” 及 除 该 协议 的 所 有 协议 。 

例如 : 

[root@localhost ~]# iptables -A INPUT -p tcp -j ACCEPT 

[root@localhost ~]# iptables -A INPUT -p ! udp -j ACCEPT 

第 一 条 命令 允许 tcp 协议 通过 INPUT 链 。 

第 二 条 命令 是 允许 除 udp 协议 的 所 有 协议 通过 INPUT 链 。 

(2) -s 或 --source: 用 于 匹配 源 地 址 (可 以 是 一 个 人 P 地 址 ， 也 可 以 是 一 个 网 段 ) 的 数据 包 
是 否 通过 或 丢弃 ， 也 可 以 使 用 “! ”。 

例如 : 

[root@localhost ~]# iptables -A INPUT -s 192.168.0.0/24 -j DROP 

[root@localhost ~]# iptables -A INPUT -s ! 192.168.0.0/24 -j ACCEPT 

以 上 两 个 命令 基本 相同 ， 第 一 条 拒绝 来 自 网 络 192.168.0.0/24 网 络 的 数据 包 通 过 
INPUT 链 ， 第 二 条 除 192.168.0.0/24 网 络 的 数据 包 以 外 的 数据 包 可 以 同 过 INPUT 链 。 

G) --sport: 匹配 源 端口 号 或 端口 范围 。 匹 配 端口 时 一 定 要 加 上 协议 ， 也 可 以 使 
用 Vs 

例如 : 

[root@localhost ~]# iptables -A INPUT -p tcp --sport 80 -j ACCEPT 

[root@localhost ~]# iptables -A INPUT -p udp --sport ! 137 -j ACCEPT 

第 一 条 命令 允许 走 80 端口 的 数据 包 通 过 INPUT 链 ， 第 二 条 命令 除 走 137 端口 的 数据 
包 以 外 的 数据 包 的 可 以 通过 。 

(4) -d 或 --destination: 根据 信息 包 了 下 的 目的 地 址 允许 或 拒绝 数据 包 。 可 以 是 一 个 全 地 
址 或 一 个 网 络 地 址 ， 也 可 以 使 用 “! ”匹配 。 

例如 : 

[root@localhost ~]# iptables -A OUTPUT -d 192.168.0.11 -j DROP 

[root@localhost ~]# iptables -A OUTPUT -d ! 192.168.0.11 -j DROP 

第 一 条 命令 禁止 目的 地 址 是 192.168.0.11 的 数据 包 通过 OUTPUT 链 ， 第 二 条 命令 除 
192.168.0.11 的 数据 包 以 外 的 所 有 数据 包 可 以 通过 OUTPUT 链 。 

(5) --dport: 匹配 目的 端口 号 或 端口 范围 。 

例如 : 


[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j DROP 
[root@localhost ~]# iptables -A INPUT -p tcp --dport ! 80 -j DROP 


第 一 条 命令 在 INPUT 链 上 所 有 目的 端口 号 80 的 数据 包 全 部 丢弃 ， 第 二 条 命令 在 


Linux 操作 与 服务 器 配置 实用 教程 


INPUT 链 上 除 目的 端口 号 是 80 的 所 有 数据 包 全 部 丢弃 。 

(9 -iD interface name [+]: 匹配 单独 的 接口 或 某 种 类 型 的 接口 设置 过 滤 规 则 。 此 参数 
忽略 时 ， 默 认 所 有 接口 可 以 使 “!” 来 匹配 。 参 数 interface name 是 接口 名 ， 如 etho、ethl 
ppp0 等 。“+” 表 示 匹 配 所 有 此 类 型 接口 。 该 选项 只 对 于 INPUT 、FORWARD 、 
PREROUTING 链 是 合法 的 。 

(7) -o [!] interface name [+]: 指定 匹配 规则 的 对 外 网 络 接口 ， 该 选项 只 有 对 OUTPUT、 
FORWARD、POSTROUTING 链 是 合法 的 。 

(8) -f --fragment。 此 规则 指定 fragmented packets 的 第 二 个 和 以 后 的 分 块 。 因 为 这 样 的 
分 块 没有 源 和 目标 端口 信息 (或 ICMP 类 型 )， 所 以 它 不 匹配 一 些 指定 它 的 规则 。 

可 以 在 它 前 面 使 用 “!”， 来 指定 一 个 不 适用 于 第 二 个 及 其 后 续 的 片段 包 的 规则 。 

可 以 这 样 理解 ， 在 TCP/IP 通信 中 每 一 个 网 络 接口 都 有 一 个 最 大 传输 单元 MTU)， 这 个 
参数 的 作用 是 指定 通过 网 络 接口 数据 包 的 尺寸 ， 如 果 通 过 的 数据 包 尺 寸 大 于 MTU， 那 么 
系统 会 将 数据 包 划 分 若干 个 小 的 数据 块 ， 待 传输 完毕 后 再 将 这 些小 的 数据 块 重组 。 这 些小 
的 数据 块 称 为 他 碎片 。 

在 包 过 滤 的 时 候 会 出 现 这 样 一 个 问题 ， 在 卫 碎片 通过 的 时 候 只 有 头 一 个 碎片 含有 完整 
的 包头 信息 ， 后 续 的 碎片 只 有 部 分 包头 信息 。 

例如 : 

[root@localhost conf]# iptables -A FORWARD -p tcp -s 192.168.1.0/24 -da 

192.168.2.1 --dport 80 -j ACCEPT 

这 时 的 FORWARD 的 默认 策略 为 DROP 时 ， 系 统 会 让 第 一 个 IP 碎片 通过 ， 而 丢掉 其 
余 的 碎片 ， 因 为 第 一 个 含有 完整 的 包头 信息 ， 可 以 满足 规则 条 件 ， 其 余 的 碎片 不 满 者 规则 
条 件 被 丢弃 ， 因 而 无 法 通过 。 可 以 使 用 -f 选项 来 指定 其 余 的 碎片 。 上 面 的 例子 可 以 改 成 如 
下 命令 。 

[root@localhost conf]# iptables -A FORWARD -p tcp -f -s 192.168.1.0/24 - 

d 192.168.2.1 --dport 80 -j ACCEPT 

现在 出 现 很 多 对 卫 碎片 的 攻击 ， 因 此 允许 人 P 碎片 通过 是 有 安全 隐患 的 ， 对 于 这 一 点 
可 采用 iptables 的 匹配 扩展 来 进行 限制 。 

(9) -m multiport --source-port: 说 明 用 来 比 对 不 连续 的 多 个 源 端口 号 ， 一 次 最 多 可 以 比 
对 15 个 ， 可 以 使 用 “!” 运 算 子 进行 反 向 比 对 。 

例如 : 


iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 


(10) -m multiport --destination-port: 用 来 比 对 不 连续 的 多 个 目的 端口 ， 一 次 最 多 可 以 比 
对 15 个， 可 以 使 用 “!” 运 算 子 进 行 反 向 比 对 。 
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例如 : 


iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 


(11) --tcp-flags: 根据 TCP 包 的 标志 位 进行 过 滤 ， 该 选项 后 接 两 个 参数 。 第 一 个 参数 
为 要 检查 的 标记 位 ， 可 以 是 SYN( 同 步 )、ACK( 应 答 )、FIN( 结 束 )、RST( 重 设 )、URG( 紧 急 ) 
和 PSH( 强 迫 推送 ) 的 组 合 ， 可 以 用 ALL 指定 所 有 标记 位 ; 第 二 个 参数 是 标记 位 的 值 为 1 
的 标志 。 

例如 : 

[root@localhost conf]# iptables -A FORWARD -p tcp --tcp-flags 

SYN, FIN,ACK SYN 

说 明 : SYN,FIN,ACK 的 标志 都 要 检查 ， 但 是 只 有 设置 了 SYN 的 才能 匹配 。 

例如 : 


[root@localhost conf]# iptables -A FORWARD -p tcp -tcp-flags ALL SYN, ACK 


说 明 : ALL(SYN，ACK，FIN，RST，URG，PSH) 的 标记 都 要 检查 ， 但 是 只 有 设置 
AYN 和 ACK 才能 匹配 。 

(12) -y -syn: 仅仅 匹配 设置 了 SYN 位 ， 清 除了 ACK、FIN 位 的 TCP 包 。 这 些 包 被 用 
来 请 求 初始 化 的 TCP 连接 ， 阻 止 从 接口 来 的 这 样 的 包 将 会 阻止 外 来 的 TCP 连接 请 求 。 但 
输出 的 TCP 连接 请 求 将 不 受 影响 。 这 个 参数 仅仅 当 协 议 类 型 设置 为 TCP 时 才能 使 用 。 此 
参数 前 可 以 使 用 “!” 标 志 匹配 所 有 的 非 请 求 连接 的 包 。 

例如 : 


iptables -p tcp -syn 


说 明 : 用 来 比 对 是 否 为 要 求 联 机 的 TCP 封包 ， 与 iptables -p tcp --tcp-flags SYN, FIN, 
ACK SYN 的 作用 完全 相同 。 

(13) -m limit -limit: 指定 单位 时 间 内 允许 通过 的 数据 包 数 。 单 位 时 间 可 以 是 /second、 
/minute、/hour、/day 或 使 用 第 一 个 字母 。 

例如 : 


[root@localhost conf]#iptables -A INPUT -m limit -limit 300/minute 
说 明 : 现在 每 分 钟 允许 通过 300 个 数据 包 。 

(14) --limit-burst: 指定 触发 事件 的 阔 值 默认 值 是 5， 用 来 比 对 瞬间 大 量 数 据 包 的 数量 。 
例如 : 


[root@localhost conf]#i iptables -A INPUT -m limit --limit-burst 15 


说 明 : 上 面 的 例子 用 来 比 对 一 次 同时 涌 入 的 封装 包 是 否 超 过 15 个 ， 超 过 的 直接 
丢弃 。 
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(15) -m state --state: 基于 状态 匹配 的 扩展 (连接 跟踪 ) 。 
例如 : 


iptables -A INPUT -m state --state RELATED,ESTABLISHED 


说 明 : 在 INPUT 链 上 添加 一 条 规则 匹配 已 经 建立 的 连接 或 由 已 建 立 的 连接 所 建立 的 
新 的 连接 ， 匹 配 所 有 的 TCP 回应 包 。 

-state 用 来 指定 联机 状态 。 联 机 状态 共有 4 种 : INVALID、ESTABLISHED、NEW 和 
RELATED。 
INVALID: 该 包 不 匹配 任何 连接 ， 通 常 这 些 包 会 被 DROP。 
ESTABLISHED: 表示 该 封装 包 属 于 某 个 已 经 建立 的 联机 。 
NEW: 表示 该 封装 将 包 想 要 起 始 一 个 联机 ( 重 设 联机 或 将 联机 重 导 向 )。 
RELATED: 表示 该 封装 包 属 于 某 个 已 经 建立 的 联机 所 建立 的 新 联机 。 例 如 ， 
FTP-DATA 联机 必定 是 源 自 某 个 FTP 联机 。 


4. 目标 (target) 


防火 墙 的 规则 指定 所 检查 包 的 特征 和 目标 。 如 果 包 不 匹配 ， 将 送 往 该 链 中 下 一 条 规 
则 检查 ;如果 匹配 ， 那 么 下 一 条 规则 由 目标 值 确定 。 该 目标 值 可 以 是 用 户 定义 的 链 名 或 
某 个 专用 值 ， 如 ACCEPT[ 通 过 ]、DROP[ 删 除 ]、QUEUE[ 排 队 ]、RETURN[ 返 回 ] 或 
REJECT[ 拒 绝 ]。 

(1) ACCEPT: 当 数 据 包 与 有 ACCEPT 的 规则 完全 匹配 的 时 候 ， 它 将 会 被 接收 允许 通 
过 ， 并 停止 匹配 ， 哪 怕 在 别 的 链 中 有 可 能 被 丢弃 。 该 数据 包 被 指定 为 -jj ACCEPT。 

(2) DROP: 当 数 据 包 与 有 DROP 的 规则 完全 匹配 的 时 候 ， 会 堵塞 该 信息 直接 被 丢弃 掉 。 

(3) REJECT: 与 DROP 相同 ,但 是 不 同 于 DROP 的 是 会 在 客户 机 和 服务 器 上 留 下 套 接 
字 ， 另 外 会 将 错误 的 消息 发 送 回 数据 包 的 发 送 方 。 

(4) RETURN: 在 规则 中 设置 的 RETURN 目标 使 与 该 规则 匹配 的 信息 停止 遍历 (所 谓 遍 
历 是 指 沿 着 某 条 搜索 路 线 ， 依 次 对 树 中 每 个 节点 均 做 一 次 且 仅 做 一 次 访问 ) 包 含 该 规则 的 
链 。 如 果 是 如 INPUT 之 类 的 主 链 ， 则 使 用 该 链 的 默认 策略 处 理 信息 包 ， 它 被 指定 为 jump 
ERTURN。 

例如 : 


iptables -A OUTPUT -d 192.168.0.11 -jump ERTURN 


还 有 许多 用 于 建立 高 级 规则 的 其 他 目标 ， 如 LOG、REDIRECT、MARK、MIRROR、 
MASQUERADE。 

(5) REDIRECT: 跳 转 ， 将 一 个 目标 地 址 或 目标 端口 跳 转 到 另 一 个 地 址 或 端口 号 ， 只 用 
于 nat 表 中 的 PREROUTING 和 OUTPUT 链 上 。 
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(6)LOG: 写 入 日 志 。 
5. 保存 规则 


我 们 已 经 学 习 了 向 链 中 添加 或 删除 规则 ， 但 是 要 记 住 ， 配 置 完 iptables 后 必须 保存 ， 
否则 重新 启动 计算 机 后 规则 会 丢失 。 

(1) 使 用 iptables-save 命令 来 保存 。 

例如 : 

sbin/iptables-save > /etc/sysconfig/iptables 

其 中 ，/etc/sysconfig/iptables/iptables 是 iptables 守护 进程 调用 的 默认 规则 集 文件 。 

现在 信息 包 过 滤 表 中 的 所 有 规则 都 被 保存 在 文件 iptables 中 ， 重 启 系统 后 使 用 命令 
iptables-restore 将 规则 集 从 该 脚本 文件 恢复 到 信息 包 过 滤 表 中 。 

例如 : 


/bin/iptables-restore < /etc/sysconfig/iptables 


(2) 使 用 service iptables save 命令 来 保存 。 如 果 希 望 每 次 系统 重新 启动 自动 恢复 该 规则 
集 ， 使 用 save 保存 。 


14.2.2 iptables 使 用 举例 


(1) 通常 每 次 配置 iptables 之 前 都 要 清除 以 前 的 规则 ， 重 新 开始 配置 ， 以 免 原 有 的 规则 
和 新 建立 的 规则 冲突 ， 使 用 如 下 命令 。 


[root@localhost conf]# iptables -F // 清 除 ilter 表 中 所 有 链 的 所 有 规则 。 
[root@localhost conf]# iptables ~-X // 清 除 ilter 表 中 用 户 自 定义 的 链 。 
[root@localhost conf]# iptables —Z // 把 所 有 和 链 中 的 规则 计数 器 清 零 。 


(2) 设置 链 的 默认 策略 ， 一 般配 置 链 的 默认 策略 有 两 种 。 

@ 首先 禁止 所 有 包 ， 然 后 再 根据 具体 要 求 允许 特定 的 包 通 过 ， 即 “没有 明确 的 所 有 
包 全 部 禁止 通过 ”。 这 种 方法 最 安全 ， 现 在 大 部 分 Linux 管理 员 都 用 这 种 方式 。 

[root@localhost conf]# iptables -P INPUT DROP 


[root@localhost conf]# iptables -P OUTPUT DROP 
[root@localhost conf]# iptables -P FORWARD DROP 


@ 首先 允许 所 有 包 通 过 ， 然 后 禁用 有 危险 的 包 及 “没有 明确 禁止 的 全 部 允许 ”， 这 
种 方法 对 用 户 比 较 方便 、 灵 活 ， 但 是 不 安全 ， 建 议 不 要 使 用 这 种 方式 配置 防火 墙 。 
[root@localhost conf]# iptables -P FORWARD ACCEPT 


[root@localhost conf]# iptables -P INPUT ACCEPT 
[root@localhost conf]# iptables -P OUTPUT ACCEPT 
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(3) 列 出 表 中 所 有 的 规则 ， 默 认 是 filter 表 ， 如 果 查 看 其 他 表 ， 加 一 个 -t 参数 。 


例如 : 
[root@localhost confl# iptables - 工 // 查 看 filter 表 中 所 有 链 的 规则 
[root@localhost conf]# iptables -t nat - 工 // 查 看 nat 表 中 所 有 和 链 的 规则 


[root@localhost conf]# iptables -L --line-number // 查 看 filter 表 中 所 有 和 链 的 规则 并 添加 
序号 ， 如 图 14-6 所 示 。 


0.0.0.25 
0.0.0.110 
0.0.0,22 
0.0.0.21 


destination 


Chain CUTPUT (policy ACCEPT) 
num target prot op! source 
[roor@localhos! conf]# 目 


图 14-6 查看 允许 链 
(4) 向 链 中 添加 规则 ， 打 开 网 络 接口 ， 代 码 如 下 。 


[root@localhost conf]# iptables -A INPUT -i lo -j ACCEPT 
[root@localhost conf]# iptables -A OUTPUT -o 1lo -]j ACCEPT 
[root@localhost conf]# iptables -A INPUT -i ethl -j ACCEPT 
[root@localhost conf]# iptables -A OUTPUT -o ethl -j] ACCEPT 
[root@localhost conf]# iptables -A FORWARD -o ethl -j ACCEPT 
[root@localhost conf]# iptables -A FORWARD -i ethl -j ACCEPT 


lo 是 回环 接口 ， 一 般 打 开 回环 接口 不 会 对 网 络 产生 安全 影响 ， 不 打开 可 能 会 影响 本 机 
速度 一 般 建议 打开 。 

(5) 用 户 自 定义 链 。 下 面 是 一 个 用 户 自 定义 链 的 举例 。 

[rootelocalhost conf]# iptables -N drop-ping// 建 立 一 个 用 户 自 定义 链 drop-ping 


[root@localhost conf]# iptables -A drop-ping -p icmp -j DROP 


// 添 加 一 条 堵塞 icmp 包 的 规则 
[root@localhost conf]# iptables -A INPUT -s 0/0 -d 0/0 -j drop-ping 


// 经 过 INPUT 链 的 数据 包 由 用 户 自 定义 链 drop-ping 处 理 


14.3 iptables 防火 墙 举例 


如 图 14-7 所 示 ， 建 立 一 个 包 过 滤 防 火 墙 。 在 内 网 和 外 网 之 间 设 置 了 一 个 防火 墙 。 防 火 
墙 的 ethl 地 址 ( 接 内 网 ) 是 192.168.100.2，eth0 地 址 ( 接 外 网 ) 是 192.168.0.13， 内 网 有 一 台 服 务 
器 ， 卫 地 址 是 192.168.100.1， 对 外 提供 服务 ， 分 别 为 Web 服务 、FTP 服务 、 邮 件 服务 。 
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192.168.100.1 

Web 服 务 

FTP 服 务 Linux 防 火 墙 

电子 邮件 服务 eth1: 192.168.100.2 
eth0: 192.168.0.13 < 人 > 
图 14-7 防火 墙 


(1) 打开 内 核 转 发 功能 ， 命 令 如 下 。 

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip forward 

(2) 首先 刷新 规则 禁止 转发 所 有 数据 包 ， 然 后 再 一 步 步 设置 允许 的 数据 包 通 过 。 用 户 
的 服务 器 在 远程 一 般 管理 使 用 ssh， 因 此 在 禁止 之 前 先 允 许 ssh 服务 ， 否 则 远程 会 连接 不 
上 ， 配 置 如 下 。 


[root@localhost ~]# iptables -F 

[root@localhost ~]# iptables -A INPUT -p tcp -d 192.168.0.13 --dport 22 
-j ACCEPT 

[root@localhost ~]# iptables -A OUTPUT -p tcp -s 192.168.0.13 --sport 22 
-j ACCEPT 


[root@localhost ~]# iptables -P INPUT DROP 
[root@localhost ~]# iptables -P OUTPUT DROP 
[root@localhost ~]# iptables -P FORWARD DROP 


在 实际 的 配置 过 程 中 ， 上 面 的 配置 应 该 加 匹配 检查 ， 防 止 没有 请 求 的 数据 包 自动 发 送 
出 去 ， 修 改 OUTPUT 和 INPUT 链 上 的 规则 ， 如 图 14-8 所 示 。 

[root@localhost ~]# iptables -A OUTPUT -p tcp -s 192.168.0.13 --sport 22 

-m state --state ESTABLISHED -j ACCEPT 


[root@localhost ~]# iptables -A INPUT -p tcp -d 192.168.0.13 --dport 22 
-j ACCEPT 


图 14-8 允许 22 端口 接 入 


(3) 允许 访问 内 网 的 web 服务 器 。 
@ 添加 NAT， 代 码 如 下 。 


[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j 


SNAT --to-source 192.168.100.2 


将 来 自 192.168.0.0/24 网 段 的 信息 使 用 192.168.100.2 转发 及 改变 数据 包 的 源 地 址 ， 此 
处 只 做 介绍 ， 第 15 章 将 进行 详细 讲解 。 

@ filter 表 上 做 数据 包 过 滤 同 样 使 用 状态 匹配 以 匹配 源 地 址 (代码 如 下 )， 防 止 用 户 请 求 
自动 发 送 数据 包 ， 如 图 14-9 和 图 14-10 所 示 。 

[root@localhost ~]# iptables -A FORWARD -p tcp -d 192.168.100.1 --dport 

80 -j] ACCEPT 


[root@localhost ~]# iptables -A FORWARD -p tcp -s 192.168.100.1 --sport 
80 -m state --state ESTABLISHED -j ACCEPT 


图 14-9 允许 80 端口 接 入 图 14-10 ”通过 设置 可 以 访问 
Web 服务 器 
(4) 设置 允许 DNS 服务 器 设置 批评 检查 ， 设 置 如 下 。 
[root@localhost ~]# iptables -A FORWARD -p udp -d 192.168.100.1 --dport 
53 -j ACCEPT 


[root@localhost ~]# iptables -A FORWARD -p udp -s 192.168.100.1 --sport 
53 -m state --state ESTABLISHED -j ACCEPT 


设置 完成 即 可 通过 域名 访问 Web 服务 器 ， 如 图 14-11 所 示 。 
文件 全) 咏 可 到 ) ee 收 藉 工具 区) 帮助 只 


四 硬 - 六 国 罗 站 时 去 tax 下 


立 hwp /frail wst. cc 


Apache 2 Test Pag 
poweredby CeNtOS 


This page is used to test tha proper operation of 
server after t has been instaled. Ifyou can reac | 
that the Apache HTTP server instaled atthis site 
Propery 


图 14-11 通过 域名 访问 Web 服务 器 
(5) 开放 本 地 回环 地 址 ， 代 码 如 下 。 在 本 地 服务 器 上 有 很 多 个 端口 都 守护 在 127.0.0.1 
这 个 地 址 上 ， 如 果 是 本 机 访问 本 机 的 回环 设备 也 会 被 拒绝 ， 这 种 服务 如 果 不 打 开 ， 会 影响 
本 机 的 速度 ， 打 开 也 不 会 有 安全 上 的 危险 ， 所 以 建议 打开 。 


[root@localhost ~]# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 
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root@localhost ~]# iptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 


(6) 允许 使 用 内 部 邮件 服务 器 。 人 允许 访问 内 部 的 邮件 服务 器 需要 开 两 个 端口 25 和 
110， 代 码 如 下 。 
root@localhost ~]# iptables -A FORWARD -p tcp -d 192.168.100.1 --dport 
25 -j ACCEPT 
root@localhost ~]# iptables -A FORWARD -p tcp -d 192.168.100.1 --dport 
110 -j ACCEPT 
root@localhost ~]# iptables -A FORWARD -p tcp -s 192.168.100.1 --sport 
110 -j ACCEPT 
root@localhost ~]# iptables -A FORWARD -p tcp -s 192.168.100.1 --sport 
25 -j ACCEPT 
(7) icmp 包 过 滤 。icmp 包 通 常用 于 网 络 测试 ， 但 是 一 些 “黑客” 利用 它 进行 攻击 ， 我 
们 要 允许 icmp 包 通 过 ， 但 是 也 要 限制 它 ， 允 许 每 秒 通过 1 个 包 ， 该 限制 触发 条 件 为 10 个 
包 ， 代 码 如 下 。 
[root@localhost ~]# iptables -A FORWARD -p icmp -m limit --limit 1/s -- 
limit-burst 10 -j ACCEPT 
(8) 处 理 人 P 碎片 ， 接 收 所 有 碎片 ， 但 是 对 单位 时 间 可 以 通过 的 人 P 碎片 数量 进行 限 
制 ， 防 止 瑟 碎片 攻击 。 每 秒 允 许 通过 100 个 碎片 ， 触 发 条 件 为 100 个 碎片 ， 代 码 如 下 。 


[root@localhost ~]# iptables -A FORWARD -f -m limit --limit 100/s -- 
limit-burst 100 -j ACCEPT 
(9) 允许 客户 机 访问 Samba 服务 器 并 进行 状态 匹配 ， 代 码 如 下 。 


[root@localhost ~]# iptables -A FORWARD -p tcp -d 192.168.100.1 --dport 
139 -j ACCEPT 
[root@localhost ~]# iptables -A FORWARD -p tcp -s 192.168.100.1 --sport 
139 -m state --state ESTABLISHED -j ACCEPT 


通过 上 面 的 配置 我 们 基本 建立 了 一 个 完整 的 防火 墙 。 该 防火 墙 对 外 开放 了 几 个 有 限 的 
端口 ， 并 且 对 他 碎 片 攻击 和 ping 攻击 进行 了 有 效 的 防御 ， 如 图 14-12 所 示 。 


图 14-12 ”防火 墙 配置 
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14.4 NAT 


随 着 接 入 Intemet 的 计算 机 数量 的 不 断 猛 增 ， IP 地 址 资源 也 就 越 加 显得 捉襟见肘 。 事 
实 上 除了 中 国教 育 和 科研 计算 机 网 (CERNET) 外 ， 一 般 用 户 几乎 申请 不 到 整 段 的 C 类 下地 
址 。 在 其 他 ISP 那里 ， 即 使 是 拥有 几 百 台 计算 机 的 大 型 局 域 网 用 户 ， 当 他 们 申请 人 P 地 址 
时 ， 所 分 配 的 也 不 过 只 有 几 个 或 十 几 个 人 P 地 址 。 显 然 这 样 少 的 人 P 地 址 根本 无 法 满足 网 络 
用 户 的 需求 ， 于 是 也 就 产生 了 NAT 技术 。 下 面 介绍 NAT。 


14.4.1 NAT 简介 


NAT 是 通过 将 专用 网 络 地 址 (如 Intranet) 转 换 为 公用 地 址 (如 Internet)， 从 而 对 外 隐藏 了 
内 部 管理 的 人 P 地 址 。 这 样 通过 在 内 部 使 用 非 注册 的 人 P 地 址 ， 并 将 它们 转换 为 一 小 部 分 外 
部 注册 的 IP 地 址 ， 从 而 减少 了 IP 地 址 注册 的 费用 ， 并 节省 了 目前 越 来 越 缺乏 的 地 址 空间 
( 即 IPv4)。 同 时 这 也 隐藏 了 内 部 网 络 结构 ， 从 而 降低 了 内 部 网 络 受 到 攻击 的 风险 。 


14.4.2 NAT 分 类 


NAT 可 以 分 为 两 种 不 同 的 类 型 : 源 NAT(SNAT) 和 目标 NAT(DNAT)。 源 NAT 是 指 修 
改 一 个 包 的 源 地 址 ， 即 改变 连接 的 来 源 地 址 。 目 标 NAT 是 指 修 改 一 个 数据 包 的 目的 IP 地 
址 ， 即 改变 连接 的 目的 地 。 

NAT 有 3 种 ， 即 静态 转换 、 动 态 转换 和 端口 多 路 复 用 。 

(1) 静态 转换 ， 是 指 将 内 部 网 络 的 私有 人 P 地 址 转换 为 公有 卫 地 址 ，IP 地 址 对 是 一 对 
一 的 ， 是 一 成 不 变 的 ， 某 个 私有 IP 地 址 只 转换 为 某 个 公有 他 地 址 ， 借 助 于 静态 转换 可 以 
实现 外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

(2) 动态 转换 ， 是 指 将 内 部 网 络 的 私有 卫 地 址 转换 为 公用 他 地 址 时 ，IP 地 址 是 不 确 
定 的 ， 是 随机 的 ， 所 有 被 授权 访问 上 Intemet 的 私有 卫 地 址 可 随机 转换 为 任何 指定 的 合法 
卫 地 址 。 也 就 是 说 ， 只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ， 以 及 用 哪些 合法 地 址 作为 外 部 
地 址 时 ， 就 可 以 进行 动态 转换 。 动 态 转 换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合 
法 他 地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ， 可 以 采用 动态 转换 的 方式 。 

(G3) 端口 多 路 复 用 : 是 指 改变 外 出 数据 包 的 源 端 口 并 进行 端口 转换 ， 即 端口 地 址 转换 
(Port Address Translation，PAT)。 采 用 端口 多 路 复 用 方式 ， 内 部 网 络 的 所 有 主机 均 可 共享 
一 个 合法 外 部 他 地 址 实现 对 Internet 的 访问 ， 从 而 可 以 最 大 限度 地 节约 人 P 地 址 资源 。 同 
时 ， 又 可 隐藏 网 络 内 部 的 所 有 主机 ， 有 效 避 免 来 自 Internet 的 攻击 。 因 此 ， 目 前 网 络 中 应 
用 最 多 的 就 是 端口 多 路 复 用 方式 。 


14.4.3 ”NAT 语法 规则 


如 果 使 用 NAT 表 ， 要 在 iptables 命令 中 明确 指明 “-t nat”， 因 为 iptables 命令 默认 的 
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表 是 filter 表 ， 在 NAT 操作 时 ， 操 作 的 命令 和 匹配 规则 与 前 述 内容 一 样 ， 在 此 不 再 獒 述 。 
1. 基本 命令 


如 前 所 述 ， 在 使 用 iptables 的 NAT 时 ， 要 使 用 “-t” 来 指明 所 使 用 的 是 NAT 表 。 
例如 : 

-A: 加 入 一 条 或 多 条 规则 到 链 的 尾部 。 

- 工 : 在 选 定 的 链 中 向 给 定 规则 号 的 前 面 出 入 一 条 规则 。 

-D: 删除 一 条 规则 。 

-R: 蔡 换 一 条 规则 。 

2. 指定 源 地 址 和 目的 地 址 


通过 --source / --sre / -s 来 指定 源 地 址 。 
通过 --destination / --dst /d 来 指定 目的 地 址 。 


3. 指定 IP 地 址 


使 用 完整 域名 ， 如 www.sohu.com。 

使 用 卫 地 址 ， 如 192.168.0.1。 

使 用 网 络 地 址 指定 一 个 网 络 ， 如 “192.168.0.0/255.255.255.0” 或 “192.168.0.0/24”。 
这 里 的 “24” 表 明了 子 网 掩 码 的 有 效 位 数 ， 这 是 Unix 或 Linux 中 通常 使 用 的 表示 方法 。 默 
认 子 网 掩 码 数 为 “32”。 

4. 指明 网 络 接口 

可 以 使 用 --in-interface/ -i 或 --out-interface/ -o 来 指定 网 络 接口 。 

对 于 PREROUTING 链 ， 使 用 -i 指定 进来 的 网 络 接口 。 

对 于 POSTROUTING 和 OUTPUT 链 ， 使 用 -o 指定 出 去 的 网 络 接口 。 


5. 指定 协议 及 端口 


可 以 使 用 --protocol -p 选项 来 指定 协议 ， 如 UDP 和 TCP 协议 ， 还 可 以 使 用 --source- 
port/--sport 和 --destination-port/--dport 来 指定 目的 端口 。 


6. 目标 动作 


(1) 对 于 POSTROUTING 链 ， 可 以 使 用 下 面 的 目标 动作 。 

-j SNAT --to-source / --to IP1 -IP2:post1-post2。--to-source 或 --to 选项 用 于 指定 其 中 一 个 
或 一 个 他 地 址 范围 和 一 个 或 一 段 可 选 的 端口 号 。 

其 中 : IP1-IP2 是 一 个 地 址 范围 ，postl-post2 是 一 个 端口 范围 ， 如 果 指 定 了 卫 地 址 范 
围 ， 那 么 机 器 会 选择 当前 使 用 最 少 的 卫 地 址 。 这 就 实现 了 最 简单 的 负载 均衡 。 如 果 制 定 了 
端口 范围 ， 则 进行 端口 映射 。 此 目标 动作 执行 完毕 ， 将 数据 包 直 接 从 网 络 接口 送出 去 。 下 
面 举 几 个 SNAT 目标 的 例子 。 
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下 面 是 在 POSTROUTING 链 添加 一 条 规则 ， 把 数据 包 的 源 地 址 改 成 1.1.1.1。 


[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 
TL 


下 面 是 在 POSTROUTING 链 添加 一 条 规则 把 数据 包 的 源 地 址 改 成 1.1.1.1、2.2.2.2 或 
者 3.3.3.3。 


[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j] SNAT --to 
bp ey Wo Gk Be 


下 面 是 在 POSTROUTING 链 添加 一 条 规则 把 数据 包 的 源 地 址 改 成 1.1.1.1， 远 端口 号 
改 成 1 一 100 中 一 个 没有 使 用 的 端口 号 。 

[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -]j SNAT --to 

br Me Wn Rn si) 

(2) -j MASQUERADE: MASQUERADE 目标 用 于 实现 Linux 世界 非常 出 名 的 他 伪 
装 ， 该 目标 实际 是 SNAT 的 特殊 应 用 。 

MASQUERADE 只 能 被 用 于 动态 分 配 人 P 地 址 的 情况 。 例 如 ，ADSL 拨号 上 网 ， 其 无 
须 为 人 P 伪装 明确 指定 源 地 址 ， 因 为 它 会 使 用 包 送出 的 那个 接口 地 址 作为 源 地 址 。 

如 果 动 态 分 配 卫 地 址 的 线路 被 关闭 ， 那 么 服务 器 在 响应 掉 线 前 发 送 的 数据 包 就 会 发 生 
问题 。 而 对 于 使 用 SNAT 的 具有 静态 卫 的 情况 就 不 会 出 现 这 种 问题 。 

下 面 是 一 个 使 用 MASQUERADE 目标 实现 IP 伪装 的 例子 ， 此 例 伪装 所 有 由 ppp0 发 送 
出 去 的 数据 包 。 

[root@localhost ~]# iptables -t nat -A POSTROUTING -o ppp0 -j SNAT 

MASQUERADE 

上 面 只 是 提 及 IP 伪装 会 使 用 包 送出 去 的 那个 接口 地 址 作为 源 地 址 ， 并 未 提 及 端口 问 
题 ， 而 且 MASQUERADE 目标 也 没有 指定 端口 的 参数 。 下 面 我 们 进一步 研究 。 

网 络 连接 是 有 一 对 套 接 字 (P 地 址 和 端口 号 ) 唯 一 确定 的 。 考 虑 这 样 的 情况 ， 如 果 内 网 
中 有 两 个 主机 使 用 了 相同 的 端口 号 访问 外 网 的 同一 个 Web 服务 器 ， 在 不 使 用 人 P 伪装 时 ， 
这 两 个 访问 连接 可 以 区 分 ， 但 是 使 用 人 P 伪装 后 ， 内 网 的 两 个 主机 地 址 会 改写 成 ppp0 的 了? 
地 址 。 对 于 如 何 区 分 两 个 连接 这 个 问题 ，netfilter/iptables 系统 会 自动 进行 端口 号 映射 ， 会 
使 用 两 个 不 同 的 连接 端口 号 ， 从 而 可 以 唯一 确定 两 个 连接 。 当 内 部 源 地 址 和 端口 号 映射 发 
生 时 ， 端 口号 分 为 3 个 级 别 : 512 以 下 的 端口 、512 一 1023 之 间 的 端口 、1024 以 上 的 端 
口 。 内 部 端口 映射 绝 不 会 被 映射 到 ( 除 此 之 外 的 ) 其 他 类 型 。 

(3) 对 于 PREROUTING 链 ， 可 以 使 用 下 面 的 目标 动作 。 


-j DNAT -to-destination/ --to IP1-IP2:post1-post2 
其 中 各 个 参数 的 用 法 与 SNAT 一 样 。 需 要 说 明 的 是 ， 尽 管 可 以 从 语法 上 指定 端口 或 端 
口 范围 ， 但 是 在 DNAT 目标 中 并 不 常用 ， 尤 其 是 端口 范围 。 
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面 是 一 个 使 用 DNAT 的 例子 。 


# iptables -t nat -A PREROUTING -p tcp -d 10.2.0.10 -dport 80 -j DNAT 一 
to-destination 192.168.0.1 


上 面 的 命令 用 于 NAT 表 的 PREROUTINT 链 ， 在 改 链 上 添加 一 条 规则 将 数据 包 的 目的 地 
址 改 为 192.168.0.1， 使 用 上 面 的 命令 可 以 使 外 部 网 络 用 户 访问 隐藏 在 内 部 网 络 中 的 服务 器 。 

(4) -j REDIRECT -to-port port-number。REDIRECT 目标 相当 于 对 进入 接口 进行 DNAT 
的 一 种 简单 方便 的 形式 。 该 目标 将 数据 包 重 定向 到 也 地址， 为 进入 系统 时 的 网 络 接口 PP 
地 址 ， 目 地 端口 改写 为 指定 的 目地 端口 (port-number)。 进 行 完 目 标 动作 后 ， 将 不 再 比 对 其 
他 规则 ， 直 接 跳 到 POSTROUTING 链 。 这 一 功能 用 于 透明 代理 。 下 面 是 使 用 REDIRECT 
目标 的 一 个 例子 。 

#iptables -t nat -A PREROUTING -i ethl -p tcp -s 192.168.0.0/24 -dport 

80 -j REDIRECT -to-port 3128 

上 面 的 命令 将 发 送 到 进入 80 端口 的 Web 请 求 重 定向 到 squid 代理 。 当 然 还 要 squid 配 
置 为 透明 代理 。 有 关 squid 的 配置 将 在 14.5 节 进 行 介绍 。 


14.4.4 _ NAT 应 用 举例 


本 例 将 实现 192.168.0.223 对 192.168.0.13 的 访问 ， 并 实现 访问 192.168.100 网 段 的 
NAT 配置 ， 如 图 14-13 所 示 。 

首先 把 NAT 表 所 有 链 设置 为 DROP， 代 码 如 下 。 

[root@localhost ~]# iptables -t nat -P POSTROUTING DROP 


[root@localhost ~]# iptables -t nat -P PREROUTING DROP 
[root@localhost ~]# iptables -t nat -P OUTPUT DROP 


在 POSTOUTING 链 上 添加 一 条 规则 ， 凡 是 源 地 址 是 192.168.0.0/24 的 数据 包 做 源 地 址 
转换 ， 转 换 成 192.168.100.2。 转 换 完 成 后 ， 如 图 14-14 所 示 。 


[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j 
SNAT --to-source 192.168.100.2 


192 168 .199.1 


SNAT 


193-168.100.1 NAT 192168.0.223 


eth0 192.168.0.13 
ethl 192.168.1002 


14-13 ”拒绝 NAT 表 的 输出 图 14-14 ”添加 规则 后 的 ping 命令 结果 


D> 
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192.168.100.1 是 一 台 Web 服务 器 ，iptables 做 DNAT 访问 ，192.168.0.13 的 HITP 数 
据 包 转发 到 192.168.100.1 服务 器 上 ， 有 效 地 隐藏 了 内 部 服务 器 ， 如 图 14-15 所 示 。 


[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.0.13 -p tcp 
-dport 80 -j DNAT --to-destination 192.168.100.1 进行 转换 


2 Test Page 
CentOS 


14-15 ”允许 192.168.0.13 访问 
14.5 Squid 


- 般 来 说 ， 代 理 服务 器 可 以 通过 缓存 来 增加 访问 速度 ， 提 供 Intranet 访问 Intemet 的 方 
法 和 手段 。Squid 是 一 种 在 Linux 系统 下 使 用 的 优秀 的 代理 服务 器 软件 ， 具 有 设置 简单 、 
权限 管理 灵活 、 性 能 和 效率 较 高 的 特点 ， 应 用 较为 广泛 。 


14.5.1 Squid 简介 


Squid 不 仅 可 用 在 Linux 系统 上 ， 还 可 以 用 在 AIX、Digital Unix、FreeBSD、HP-UX、 
IRIX、NetBSD、NEXTSTEP、SCO 和 Solaris 等 系统 上 。Squid 与 Linux 下 其 他 代理 软件 
(如 Apache、Socks、TIS FWTK 和 delegate) 相 比 ， 下 载 、 安 装 简单 ， 配 置 简单 、 灵 活 ， 支 
持 缓存 和 多 种 协议 ， 用 ipchains+Squid 的 解决 方案 ， 就 可 以 获得 通过 缓存 高 性 能 的 同时 无 
颖 地 访问 Intermmet。Squid 是 一 种 缓存 Intermet 数据 的 软件 ， 它 接收 用 户 的 下 载 申 请 ， 并 自 
动 处 理 所 下 载 的 数据 。 也 就 是 说 ， 当 一 个 用 户 下 载 一 个 主页 时 ， 它 向 Squid 发 出 一 个 申 
请 ， 让 Squid 蔡 它 下 载 ， 然 后 Squid 连接 所 申请 网 站 并 请 求 该 主页 ， 接 着 把 该 主页 传 给 用 
户 的 同时 保留 一 个 备份 ， 当 别 的 用 户 申请 同样 的 页 面 时 ，Squid 把 保存 的 备份 立即 传 给 用 
户 ， 使 用 户 觉得 速度 相当 快 。 

对 于 Web 用 户 来 说 ，Squid 是 一 个 高 性 能 的 代理 缓存 服务 器 ， 可 以 加 快 内 部 网 浏览 
Internet 的 速度 ， 提 高 客户 机 的 访问 命中 率 。Squid 不 仅 支 持 HITP 协议 ， 还 支持 FTP、 
Gopher、SSL 和 WAIS 等 协议 。 和 一 般 的 代理 缓存 软件 不 同 ，Squid 用 一 个 单独 的 、 非 模 
块 化 的 、L/O 驱动 的 进程 来 处 理 所 有 的 客户 端 请 求 。 


第 14 剖 _Linox 态 炎 坟 有 NAT I 只 


Squid 将 数据 元 缓存 在 内 存 中 ， 同 时 也 缓存 DNS 查寻 的 结果 ， 除 此 之 外 它 还 支持 非 模 
块 化 的 DNS 查询 ， 对 失败 的 请 求 进行 消极 缓存 。Squid 支持 SSL， 支 持 访问 控制 。 由 于 使 


用 了 ICP，Squid 能 够 实现 如 


辣 的 代理 阵列 ， 从 而 最 大 限度 地 节约 了 带宽 。 


Squid 由 一 个 主要 的 服务 程序 Squid、 一 个 DNS 查询 程序 dnsserver、 几 个 重 写 请 求 、 
执行 认证 的 程序 及 几 个 管理 工具 组 成 。 当 Squid 启动 以 后 ， 它 可 以 派生 出 指定 数目 的 
dnsserver 进程 ， 而 每 一 个 dnsserver 进程 都 可 以 执行 单独 的 DNS 查询 ， 这 样 就 大 大 减少 了 
服务 器 等 待 DNS 查询 的 时 间 。 

Squid 的 另 一 个 优越 性 在 于 它 使 用 访问 控制 清单 (ACL) 和 访问 权限 清单 (ARL)。 访 问 控 
制 清单 和 访问 权限 清单 通过 阻止 特定 的 网 络 连接 来 减少 潜在 的 Intemet 非法 连接 ， 可 以 使 
用 这 些 清单 来 确保 内 部 网 的 主机 无 法 访问 有 威胁 的 或 不 适宜 的 站 点 。 
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1. Squid 中 各 个 文件 的 作用 及 说 明 


表 14-2 列 出 了 Squid 包 


bh 的 重要 文件 及 其 说 明 。 


表 14-2 Squid 包 中 的 文件 及 其 说 明 


类 别 文件 说 明 
/etc/squid/squid.conf Squid 的 主 配置 文件 
/etc/squid/errors 报告 错误 使 用 的 语言 
这 是 Squid 的 SNMP 管理 信息 基础 (MIB) 文 件 。Squid 自身 
pone 不 使 用 该 文件 ， 然 而 ，SNMP 客户 端 软 件 ， 如 snmpget 和 
多 路 由 走向 图 (MRTG) 需 要 该 文件 ， 用 以 理解 来 自 Squid 的 
配置 相关 SNMP 对 象 可 用 
文件 告诉 Squid 对 从 FTP 和 Gopher 服务 器 获取 的 数据 使 用 何 
种 MIME 类 型 。 该 文件 是 一 个 关联 文件 名 扩展 到 MIME 类 
/etc/squid/mime.conf 型 的 表 。 正 常情 况 下 ， 用 户 不 必 编 辑 该 文件 。 然 而 ， 用 户 
可 能 需要 增加 特殊 文件 类 型 的 接口 ， 它 们 在 用 户 的 组 织 内 
使 用 
/etc/squid/msntauth.conf MSNT 认证 配置 文件 (验证 器 ) 
/usr/sbin/squid Squid 主 程序 
应 用 程序 /sr/sbin/squidclient 统计 显示 摘要 表 的 客户 程序 
和 库 /usr/lib/squid/cachemgr.cgi | 查看 Squid 实时 运行 情况 的 CGI 脚本 
/usr/lib/squid/*_auth Squid 的 各 种 认证 库 文件 
| Squid 的 文档 根 目录 
2.5.STABLE6 
错误 提示 | /usr/shar/squid/errors 报告 错误 的 各 种 语言 文件 的 根 目录 


< 
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续 表 


/var/spool/squid 


/etc/logrotate.d/squid 


缓存 目录 的 根 
squid 的 日 志 滚动 配置 文件 
Squid 的 访问 日 志文 件 

squid 缓存 对 象 状态 的 日 志文 件 
Squid 缓存 状态 的 日 志文 件 


关 | /var/log/squid/access.log 


日 志 相 
/var/log/squid/store.log 


其 中 ，Squid 的 主 配置 文件 squid.conf 包含 了 大 量 的 配置 说 明 ， 有 3000 多 行 。 下 面 介 
绍 squid.conf 文件 的 结构 ， 见 表 14-3。 


表 14-3 Squid 配置 文件 说 明 


各 个 配置 段落 说 明 
NETWORK OPTIONS 有 关 网 络 的 选项 
ne H AFFECT THE NEIGHBOR SELECTION 作用 于 邻居 选择 算法 
OPTIONS WHICH AFFECT THE CACHE SIZE 定义 cache 大 小 的 选项 
LOGFILE PATHNAMES AND CACHE DIRECTORIES 5 和 
OPTIONS FOR EXTERNAL SUPPORT PROGRAMS 外 部 支持 程序 选项 
OPTIONS FOR TUNING THE CACHE 调整 cache 选项 
TIMEOUTS 定义 超时 选项 
ACCESS CONTROLS 访问 控制 选项 
ADMINISTRATIVE PARAMETERS 管理 参数 
OPTIONS FOR THE CACHE REGISTRATION SERVICE cache 注册 服务 选项 
HTTPD-ACCELERATOR OPTIONS httpd 加 速 选项 
MISCELLANEOUS 杂项 
DELAY POOL PARAMETERS 延 时 池 选 项 


2. squid.conf 配置 文件 介绍 

squid.conf 文件 对 squid 服务 器 有 特别 重要 的 作用 ， 它 对 需要 配置 的 各 个 项 都 做 了 非常 
详细 的 讲解 ， 可 以 说 是 一 个 用 户 手册 ， 配 置 中 遇 到 的 各 个 问题 都 可 以 参照 该 文件 解决 。 

squid.conf 配置 文件 每 一 项 前 面 的 “#” 表 示 注 释 ， 由 于 该 文件 太 大 ， 约 有 80 页 ， 所 
以 这 里 对 一 些 重要 的 选项 进行 介绍 ， 如 下 所 示 。 


NETWORK OPTIONS 


# Squid normally listens to port 3128 
http port 3128 // 客 户 端 浏览 器 连接 到 代理 服务 器 的 端口 号 ， 默 认 是 
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3128， 可 以 自 定义 ， 如 8080， 或 可 以 把 IP 地 址 和 端口 号 一 起 写 , 如 192.168.0.1: 3128 


#Default: 
# cache_mem 8 MB // 要 额外 提供 多 少 内 存 给 Squid 使 用 ， 这 里 的 额外 是 指 squid 会 将 最 常用 
// 的 一 些 缓存 放 到 这 块 内 存 中 


# TAG: cache swap low (percent, 0-100) 

# TAG: cache swap high (percent, 0-100) 

// 说 明 : squid 使 用 大 量 的 交换 空间 来 存储 对 象 。 过 了 一 定 的 时 间 以 后 ， 该 交换 空间 就 会 用 完 ， 

// 所 以 还 必须 定期 按照 某 种 指标 来 降低 。Squid 使 用 所 谓 的 “最 近 最 少 使 用 算法 ”(LRU) 来 做 这 一 

// 工 作 。 当 已 使 用 的 交换 空间 达到 cache_swap_high 时 ，squid 就 根据 LRU 所 计算 得 到 的 结果 

// 清 除 。 这 种 清除 工作 一 直 进行 ， 直 到 已 用 空间 达到 cache_swap_low。 这 两 个 值 用 百分比 表 

// 示 ， 如 果 所 使 用 的 交换 空间 很 大 的 话 ， 建 议 减少 这 两 个 值 的 差距 ， 因 为 这 时 一 个 百分点 就 可 能 是 

// 几 百 兆 字 节 的 空间 ， 这 势必 影响 squid 的 性 能 

# cache_swap_low 90 // 最 低 缓 存 百分比 

# cache_swap_high 95 // 最 高 缓存 百分比 ， 就 是 这 个 cache_mem 8 MB 使 用 的 百分比 

# 说 明 : 大 于 该 值 的 对 象 将 不 被 存储 。 如 果 想 要 提高 访问 速度 ， 就 请 降低 该 值 ， 如 果 想 最 大 限度 地 节 

约 带宽 ， 降 低 成 本 ， 请 增加 该 值 。 单 位 为 KB， 默 认 值 为 4096KB 

#Default: 

# maximum object size 4096 KB 

#Default: 

# minimum object_size 0 KB // 小 于 此 尺寸 的 对 象 将 不 缓存 

#Default: 

# maximum object size_in memory 8 KB // 在 内 存 中 单个 文件 最 大 缓存 大 小 ， 超 过 这 个 大 小 ， 
// 将 不 缓存 到 内 存 中 

#Default: 

# ipcache_size 1024 //IP 地 址 高 速 缓存 的 大 小 

# ipcache low 90 // 最 小 允许 ipcache 使 用 swap 90% 

# ipcache high 95  ”// 最 大 允许 ipcache 使 用 swap 95% 

#Default: 

# fqdncache size 1024 一 FQDN 高 速 缓存 的 大 小 

#Default: 

# cache_replacement_policy lru // 此 标记 用 于 当 缓 存 新 对 象 时 ， 使 用 缓存 策略 来 清除 缓 

// 存 中 的 特定 对 象 。 这 里 使 用 1ru 表示 ， 它 只 蔡 换 长 时 间 没有 被 访问 过 的 对 象 。 其 他 策略 请 参看 配 

// 置 文档 中 的 介绍 

#Default: 

# memory replacement policy lru // 此 用 法 同上 ， 区 别 在 于 痊 换 内 存 对 象 

#Default: 

# cache_ dir ufs /var/spool/squid 100 16 256 // 设 定 缓存 的 位 置 、 大 小 ， 第 一 个 数 

// 字 100 是 指 目录 的 总 大 小 为 100MB， 第 二 个 数字 16 是 指 第 一 级 目录 为 16 个 ， 第 三 个 数字 256 

// 是 指 第 二 级 目录 为 256 个 。 如 果 网 站 访问 量 大 ， 并 且 内 容 很 多 的 话 ， 可 以 考虑 将 默认 的 100MB 

// 增 大 ， 和 否则 会 报错 

access_1og /var/log/squid/access.log squid // 指 定 客户 请 求 记录 日 志 的 完整 路 径 

#Default: 
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# cache_1og /var/1log/squid/cache.1og  // 指 定 squid 一 般 信 息 日 志 的 完整 路 径 (包括 
// 文 件 的 名 称 及 所 在 的 目录 ) 

#Default: 

# cache store log /var/log/squid/store.1log // 指 定 对 象 存储 记录 日 志 的 完整 路 径 

// (包括 文件 的 名 称 及 所 在 的 目录 ) 。 该 记录 表明 哪些 对 象 被 写 到 交换 空间 ， 哪 些 对 象 被 从 交换 空间 清除 


# TAG: cache swap log 
// 该 选项 指明 每 个 交换 空间 的 “swap .10g” 日 志 的 完整 路 径 (包括 文件 的 名 称 及 所 在 的 目录 ) 。 
// 该 日 志文 件 包含 了 存储 在 交换 空间 里 的 对 象 的 元 数据 (metadata) 。 通 常 ， 系 统 将 该 文件 自动 保 
// 存 在 第 一 个 “cache_dir” 说 定义 的 顶级 目录 里 ， 也 可 以 指定 其 他 的 路 径 。 如 果 定 义 了 多 个 
“cache dir”， 则 相应 的 日 志文 件 可 能 如 下 所 示 
# cache swap 1og.00 
2 cache swap 1og.01 
cache _swap_ 1og.02 
7 与 指定 的 多 个 “cache _dir” 一 一 对 应 。 
// 需 要 注意 的 是 ， 最 好 不 要 删除 这 类 日 志文 件 ， 否 则 squid 将 不 能 正常 工作 。 
#Default: 
# emulate _httpd log off // 使 squid 仿照 Web 服务 器 的 格式 创建 访问 记录 。 如 果 和 希望 
//Web 访问 记录 分 析 程序 ， 就 需要 设置 这 个 参数 

#Default: 
# 1og_ip_ on _direct on // 记 录 客 户 端 主机 的 IP 地 址 
#Default: 
# mime table /etc/squid/mime.conf //squid 所 用 mime 的 文件 路 径 ，mime 的 中 文 名 
称 为 “多 用 途 互联 网 邮件 扩展 ”。 它 是 当前 广泛 应 用 的 一 种 电子 邮件 技术 规范 
#Default: 
# pid filename /var/run/squid.pid //squid 进程 ID 的 文件 
#Default: 
# log fqdn off // 记 录 全 DNS 域名 解析 

说 明 : 控制 在 access.1og 中 对 用 户 地 址 的 记录 方式 。 打 开 该 选项 时 ，squid 记录 客户 的 完整 
域名 ， 取 消 该 选项 时 ，squid 记录 客户 的 IP 地 址 。 注 意 ， 如 果 打 开 该 选项 会 增加 系统 的 负担 ， 因 


为 squid 还 要 进行 客户 IP 的 DNS 查询 

#Default: 

# client netmask 255.255.255.255 // 客 户 端的 子 网 掩 码 
#Default: 

# ftp user Squid@ // 这 里 可 以 使 用 匿名 登录 FTP 服务 器 
#Default: 

# ftp_1list width 32 //FTP 文件 列表 长 度 ， 超 过 长 度 则 截断 文件 名 
#Default: 

# ftp_passive on // 人 允许 主动 连接 FTP 服务 器 

#Default: 


# ftp sanitycheck on // 最 新 补丁 使 squid 只 接收 外 出 /进入 来 自 同 一 IP 地 址 的 FTP 数据 
// 和 控制 通道 。 这 个 功能 可 以 通过 设置 ftp_sanitycheck 选项 关闭 ， 不 过 强烈 建议 管理 员 保留 
// 这 个 默认 设置 为 "on" 

#Default: 

# ftp_telnet_protocol on // 人 允许 telnet 到 ftp 服务 器 
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#Default: 

# cache dns program /usr/1ib/squid/dnsserver // 指 定 DNS 查询 程序 的 完整 路 径 
// (包括 文件 的 名 称 及 所 在 的 目录 ) 

#Default: 


# dns_children 5 一 

说 明 : 设置 DNS 查询 程序 的 进程 数 。 对 于 大 型 的 登录 服务 器 系统 ， 建 议 该 值 至 少 为 10。 最 大 值 可 
以 是 32， 默 认 设置 为 5 个 。 注 意 ， 如 果 任意 降低 该 值 ， 可 能 会 使 系统 性 能 急剧 降低 ， 因 为 squid 主 
进程 要 等 待 域名 查询 的 结果 。 没 有 必要 减少 该 值 ， 因 为 DNS 查询 进程 并 不 会 消耗 太 多 的 系统 资源 。 


#Default: 
# dns_retransmit interval 5 seconds //DNS 查询 间隔 


#Default: 
# dns_timeout 2 minutes //DNS 查询 超时 


# 

# Example: dns nameservers 10.0.0.1 192.172.0.4 

// 指 定 一 个 DNS 服务 器 列表 ， 强 制 squid 使 用 该 列表 中 的 DNS 服务 器 而 非 使 用 /etc/resolv .conf 
// 文 件 中 定义 的 DNS 服务 器 。 用 户 可 以 这 样 指定 多 个 DNS 服务 器 

#Default: 

# hosts_file /etc/hosts //hosts 文件 的 位 置 


#Default: 

# diskd program /usr/1ib/squid/diskd-daemon // 磁 盘 管理 程序 

#Default: 

# unlinkd_program /usr/1ib/squid/unlinkqd // 指 定 文件 删除 进程 的 完整 路 径 
#Default: 

# pinger_program /usr/1ib/squid/pinger // 指 定 ping 进程 的 完整 路 径 。 该 进程 被 
//squid 利用 来 测量 与 其 他 邻居 的 路 由 距离 。 该 选项 只 在 启用 了 该 功能 时 有 用 

# TAG: auth param //squid 的 认证 功能 

#Default: 

# authenticate ttl 1 hour // 此 标记 设置 认证 保持 的 时 间 

#Default: 

# authenticate ip ttl 0 seconds // 此 标记 设置 认证 绑 定 IP 地 址 的 时 间 长 度 
#Default: 

# request header max size 20 KB 

# request body max size 1 MB 

// 设 置 了 HTTP 请 求 的 包头 和 数据 大 小 

#Default: 

# quick abort min 16 KB 

# quick abort max 16 KB 

# quick abort pct 95 

// 控 制 squid 是 否 继续 传输 被 用 户 中 断 的 请 求 。 当 用 户 中 断 请 求 时 ，squid 将 检测 quick_abort 
// 的 值 。 如 果 剩 余部 分 小 于 “aquick_abort_min” 指 定 的 值 ，squid 将 继续 完成 剩余 部 分 的 传输 ; 
// 如 果 剩 余部 分 大 于 “quick_abort_max” 指 定 的 值 ，squid 将 终止 剩余 部 分 的 传输 ， 如 果 已 
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// 完 成 “auick _abort _pct” 指 定 的 百分比 ，squid 将 继续 完成 剩余 部 分 的 传输 

#Default: 

# negative ttl 5 minutes // 设 置 消极 存储 对 象 的 生存 时 间 。 所 谓 的 消极 存储 对 象 ， 就 是 诸 
// 如 “连接 失败 ”及 "404 Not Found" 等 一 类 错误 信息 


#Default: 

# positive dns ttl 6 hours // 设 置 缓存 成 功 的 DNS 查询 结果 的 生存 时 间 

#Default: 

# negative_ dns_ttl 1 minute // 设 置 缓存 失败 的 DNS 查询 结果 的 生存 时 间 

#Default: 

# range offset limit 0 KB // 主 要 用 在 优化 各 种 多 线程 下 载 攻击 和 在 线 流 媒体 播放 下 的 squid 
#Default: 

# connect timeout 1 minute // 设 置 squid 等 待 连接 完成 的 超时 值 ， 默 认 值 为 2 分 钟 
#Default: 

# peer_connect timeout 30 seconds // 连 接 到 上 层 代理 的 超时 时 间 

#Default: 

# request timeout 5 minutes // 返 回 超时 

#Default: 

# persistent_request_timeout 1 minute // 持 续 连接 时 间 

#Default: 

# client lifetime 1 day // 设 置 客户 在 与 squid 建立 连接 后 ， 可 以 将 该 连接 保持 多 长 时 间 。 
#Default: 


# half_closed clients on // 有 时 候 由 于 用 户 的 不 正常 操作 ， 可 能 会 使 与 squid 的 TCP 连 
// 接 处 于 半 关 闭 状态 ， 这 时 候 ， 该 TCP 连接 的 发 送 端 已 经 关闭 ， 而 接收 端正 常 工作 。 默 认 squid 
// 将 一 直 保持 这 种 处 于 半 关 闭 状态 的 TCP 连接 ， 直 到 返回 套 接 字 的 读 写 错误 才 将 其 关闭 。 如 果 将 该 
// 值 设 为 off， 则 一 旦 从 客户 端 返 回 “no more data to read-1; ”的 信息 ，squid 就 立即 关 
// 闭 该 连接 

#Default: 

# pconn timeout 120 seconds // 设 置 squid 在 与 其 他 服务 器 和 代理 建立 连接 后 ， 该 连接 闲 
置 多 长 时 间 后 被 关闭 ， 默 认 值 为 120 秒 

#Default: 

# ident timeout 10 seconds // 设 置 squid 等 待 用 户 认证 请 求 的 时 间 ， 默 认 值 为 10 秒 
#Default: 

# shutdown_ 1ifetime 30 seconds // 当 收 到 SIGTERM 或 者 SIGHUP 信号 后 ， squid 将 
// 进 入 一 种 shutdown pending 的 模式 ， 等 待 所 有 活动 的 套 接 字 关 闭 。 在 过 了 shutdown_lifetime 
// 所 定义 的 时 间 后 ， 所 有 活动 的 用 户 都 将 收 到 一 个 超时 信息 ， 默 认 值 为 30 秒 

# acl aclname time [day-abbrevs] [hl:ml-h2:m2] 


# day-abbrevs: 

8# S - Sunday 

# M - Monday 

# T - Tuesday 

8# W -~ Wednesday 

# 了 - Thursday 

# F - Friday 

# A - Saturday 

# hl:ml must be less than h2:m2 
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// 这 段 语句 指明 要 访问 的 时 间 ， 字 母 代表 每 周 日 到 周 六 ， 后 面 会 介绍 到 
acl SSL ports port 443 


acl Safe ports port 80 # http 
acl Safe ports port 21 # ftp 
acl Safe ports port 443 # https 
acl Safe ports port 70 # gopher 
acl Safe ports port 210 # wais 


acl Safe ports port 1025-65535 # unregistered ports 


acl Safe ports port 280 # http-mgmt 

acl Safe ports port 488 # gss-http 

acl Safe ports port 591 # filemaker 

acl Safe ports port 777 # multiling http 
定义 安全 端口 

#Default: 


# log uses indirect client on 


http access 
http access 
http access 
http access 
http access 
http access 


allow manager localhost 
deny manager 

deny !Safe ports 

deny CONNECT !SSL ports 
allow localhost 

deny all 


// 这 一 部 分 设置 访问 控制 列表 (acl) 在 哪些 情况 下 可 以 连接 ， 哪 些 情况 不 可 以 连接 。 整 个 设置 分 为 
// 两 个 部 分 ， 上 半 部 分 定义 访问 资源 ， 下 半 部 分 设置 是 否 可 以 连接 。squid 会 针对 客户 HTTP 请 求 
// 全 面 检查 http_access 规则 ， 定 义 访问 控制 列表 后 就 使 用 http_access 选项 根据 访问 控制 列 
// 表 允许 或 禁止 访问 

icp_access allow all 一 允许 chache_peer 使 用 ICP 协议 


以 上 只 是 squid.conf 文件 的 


14.5.3 ”Squid 的 简单 配置 


虽然 Squid 非常 强大 ， 如 果 要 配置 一 个 简单 的 代理 服务 器 ， 只 需要 修改 配置 文件 。 
(1) 把 http_access deny all 改 成 http_access allow all， 注 意 (http_access deny all 一 定 是 
前 面 没有 “#” 的 那个 )。 
(2) 重新 启动 Squid 服务 器 。 
肖 注意 : ”如 何 让 Linux 同时 是 一 台 DNS 服务 器 并 且 使 DNS 指向 自己 ， 在 启动 Squid 
的 时 候 会 有 错误 提示 ， 如 图 14-16 所 示 。 


图 14-16 启动 Squid 服务 


-部 分 ， 选 项 很 多 ， 读 者 有 兴趣 可 以 自己 研究 ， 在 此 不 再 


站 Wh 
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这 是 由 于 Squid 没有 指向 自己 的 完整 域名 ， 查 看 日 志 squid.out 可 以 看 出 一 个 错误 


Could not determine fully qualified hostname. Please set 

"visible hostname'" 

在 Squid 的 配置 文件 中 添加 一 行内 容 ， 指 向 NDS 域名 ， 如 图 14-17 所 示 ， 添 加 完 再 重 
新 启动 Squid。 


14-17 ”修改 Squid 配置 文件 
(3) 修改 客户 端的 人 P 地 址 ， 把 客户 端的 网 关 和 DNS 服务 器 设置 成 Squid 的 瑟 地 址 ， 
如 图 14-18 所 示 。 
(4) 修改 正 属性 ， 在 正 中 选择 菜单 “工具 ”|“Intemet 选项 ”命令 ， 选 择 “ 连 接 ” 选 
项 卡 ， 单 击 “ 局 域 网 设置 ”按钮 ， 如 图 14-19 所 示 。 


Internet 协议 (ICP/IP) 属性 


宙 
ET 


〇 自动 基 得 TP 地 址 加) 
直下 而 的 二 天 下 可 


TE i ems, 杰克 保全 有 手动 设 着 ,请 芭 有 目 动机 
FA 四 EFTEE 2 
加 借用 下 面 的 01S 服务 器 地 址 EE) 全 归 和 加 
首 过 DS 服务 吕 i 08 100 1 同 为 :起 , 信 用 代理 上 和 器 四 此 议 轩 不 应 月 于 拓 号 中 
备用 DNS 服务 器 他) nl 
地 站 四 [se ia ia] 二 DOD; Pi ] [Ra 
Er 口 对 于 地 地 址 不 本 代 得 服务 器) 

CE Cw Ge 

图 14-18 设置 Squid 的 IP 地 址 图 14-19 ”代理 服务 器 配置 
(5) Squid 的 安全 访问 设置 。Squid 服务 器 是 Web 客户 机 和 Web 服务 器 之 间 的 中 介 ， 


它 可 以 实现 访问 控制 ， 具 体 就 是 可 以 限制 哪些 客户 机 什么 时 段 可 以 访问 网 络 。Squid 服务 
器 通过 检查 具体 具有 控制 信息 的 主机 和 域 的 访问 控制 列表 (ACL) 来 决定 是 否 允 许 某 客户 机 
访问 网 络 ， 当 发 现 来 自 列表 中 人 允许 访问 Web 服务 器 的 客户 机 时 ， 就 执行 控制 职能 。Squid 
支持 大 流量 访问 控制 功能 ， 可 以 拒绝 和 接受 来 自 远程 主机 的 对 Web 服务 器 的 访问 请 求 ， 见 
表 14-4。 
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表 14-4 Squid 访问 控制 列表 的 选项 


选 项 描 述 
src ip-address/netmask 客户 机 四 地 址 
src addr1-addr2/netmask 地 址 范围 
dst ip-address/netmask 目标 于 地 址 
arp mac-address 目标 MAC 地 址 
srcdom regex[-IJexpression 与 客户 机 匹配 的 规则 表达 式 
url regex[I]jexperssion 与 整个 usl 匹配 的 规则 表达 式 
dstdom regex[-IJexpression 与 目标 匹配 的 规则 表达 式 
urlpath regex[Tlexpression 与 url 路 径 匹 配 的 规则 表达 式 
Protposts 声明 端口 或 端口 的 范围 
Proto protocol 声明 ， 如 HTTP 或 FIP 协 议 
method method 声明 方法 ， 如 GET 或 POST 


Squid 的 控制 功能 非常 强大 ， 只 要 理解 Squid 的 行为 方式 ， 基 本 上 就 能 满足 所 有 的 控制 


要 求 。 


配置 Squid 服务 器 安全 的 第 一 步 是 创建 访问 控制 列表 (ACL)，ACL 的 基本 格式 如 下 。 

acl 列表 名 控制 方式 ”控制 目标 

ACL 是 控制 客户 的 主机 和 域 的 列表 。 使 用 acl 命令 可 以 定义 ACL， 该 命令 在 控制 选项 
中 创建 标签 。 用 户 可 以 使 用 http_access 的 命令 定义 这 些 控制 功能 ， 可 以 基于 多 种 acl 选 
项 ， 如 限制 人 P 地 址 、MAC 地 址 、 域 名 、 违 反 站 点 和 特定 资源 ， 甚 至 时 间 和 日 期 等 。 下 面 


举例 说 明 。 


@ 设置 只 允许 192.168.100.10-192.168.100.30 之 间 的 主机 访问 外 网 ， 代 码 如 下 。 


acl myclients src 192.168.100.10-192.168.100.30 
http access allow myclients 


http access deny all 


还 有 一 种 写法 把 不 允许 访问 网 络 的 人 P 地 址 写 到 一 个 文件 中 。 例 如 ，squid.conf 中 把 不 
允许 访问 网 络 的 他 地 址 写 入 /home/denyclient 中 ， 代 码 如 下 。 


acl myclients src "/home/denyclient" 


http access deny myclients 


http access allow all 


/home/denyclient 文件 内 容 


192.168.100.10 
192.168.100.20 
192.168.100.30 
192.168.100.40 
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@ 限制 访问 某 些 网 站 。 下 面 的 例子 是 拒绝 客户 机 访问 新 浪 网 站 ， 使 用 dst 命令 。 


acl Wwww dst www.sina.com.cn 
http access deny www 
http access allow all 


当然 也 可 以 把 禁止 访问 的 网 站 写 到 一 个 文件 中 ， 代 码 如 下 。 
acl www dst "/home/www" 

http access deny www 

http access allow all 


@ 限制 用 户 访问 外 网 的 时 间 ， 代 码 如 下 。 

acl myclient src 192.168.100.20 

acl procy time time 00:00-08:00 

http access deny myclient procy time 

http access allow all 

以 上 代码 禁止 192.168.100.20 这 台 主 机 在 00:00 一 08:00 访问 外 网 。 

@ 限制 用 户 访问 某 些 格式 的 文件 。 还 有 一 种 比较 常用 的 控制 方式 是 控制 用 户 访问 的 
文件 。 如 果 不 希望 普通 用 户 下 载 MP3、MP4 等 文件 ， 可 以 对 这 些 文件 进行 限制 。 配 置 方法 
如 下 。 

acl file urlpath regex \.mp3$ \mp4$ 

http access deny file 

regex 确认 该 条 语句 为 规则 表达 式 ， 又 称 正则 表达 式 。 它 将 匹配 以 mp3 和 mp4 结尾 的 
url 请求 ， 可 以 加 -i 忽略 大 小 写 。 举 例如 下 。 


acl file urlpath regex -i \.mp3$ \mp4$ 

这 样 无 论 是 mp3 还 是 mp4 的 文件 都 会 被 拒绝 ， 方 法 如 下 。 

acl myhost src 192.168.100.223 

acl file urlpath regex -i \.mp3$ \.3gp$ 

http access allow myhost file 

http access deny file 

以 上 代码 只 允许 192.168.100.223 这 人 台 计算 机 下 载 mp3 和 3gp 的 文件 ， 其 他 计算 机 不 
可 以 下 载 。 

(6) Squid 的 透明 代理 。 所 谓 透明 代理 ， 就 是 客户 端 在 无 须 任何 配置 的 情况 下 通过 
Squid 代理 上 网 ， 只 需要 将 客户 机 的 网 关 和 DNS 地 址 指向 服务 器 连接 内 网 网 卡 的 人 P 地 址 
即 可 ， 当 内 网 的 客户 机 访问 外 网 时 ， 请 求 的 数据 包 经 过 Linux 服务 器 转发 时 ，Linux 上 的 
iptables 将 客户 机 的 HTTP 请 求 重 定向 到 Squid 服务 器 。 由 代理 服务 器 代 蔡 客户 端 访问 外 网 
资源 ， 代 理 服务 器 再 将 获取 到 得 外 网 信息 传 回 客户 机 。 配 置 了 透明 代理 后 ， 客 户 机 在 浏览 
网 页 时 ， 感 觉 像 直接 上 网 一 样 ， 而 实际 上 是 通过 代理 服务 器 浏览 网 页 ， 从 而 大 大 方便 了 系 
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统管 理 员 日 常 的 维护 工作 。 透 明代 理 是 NAT 和 代理 的 完美 结合 ， 配 置 也 非常 简单 。 相 关 
配置 如 下 。 
@ 首先 打开 Linux 的 转发 机 制 。 


echo '1' >/proc/sys/net/ipv4/ip _ forward 
回 修改 Squid 的 配置 文件 (各 个 版 本 的 Squid 修改 的 内 容 不 一 样 ， 在 此 使 用 的 是 2.6)。 
http_port 3128 transparent // 添 加 transparent 启用 透明 模式 


@ 在 NAT 表 中 添加 一 个 规则 。 


Iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i ethl -p tcp --dport 
80 -j] REDIRECT --to-ports 3128 


192.168.1.0/24 为 内 网 地 址 ，ethl 是 Linux 接 内 网 的 网 卡 。 
@ 重新 启动 squid。 


# squid -k parse // 检 测 squid 的 语法 
# squid -z // 初 始 化 squid， 建 立 缓存 
# /etc/init.d/squid start 


使 用 客户 端 上 网 感觉 不 到 理 服务 器 的 存在 ， 就 像 在 直接 访问 网 页 。 
14.5.4 ”Squid 的 日 志 


1) 日 志文 件 系 

Squid 拥有 完善 的 、 分 布 式 的 日 志文 件 系统 ， 除 了 启动 和 关闭 Squid 时 会 写 入 部 分 信 
息 到 系统 日 志 外 ， 其 他 与 代理 服务 器 相关 的 日 志 都 是 写 入 单独 文件 中 的 ， 便 于 管理 员 进 行 
维护 、 管 理 和 分 析 。 这 些 日 志 包括 : access.log、cache.log 和 store.log。 

access.log 主要 包含 请 求 用 户 的 信息 ， 如 请 求 用 户 的 来 源 也、 请 求 时 间 、 请 求 的 站 点 
和 资源 等 。 用 户 的 请 求 是 否 被 批准 ， 用 户 请 求 的 资源 是 否 已 经 缓存 ， 都 可 以 从 这 个 文件 中 
得 到 答案 ， 因 此 ， 这 个 文件 也 是 管理 员 最 关注 的 文件 。 

cache.log 包含 Squid 服务 器 进程 信息 ， 如 启动 状态 、 进 程 ID 及 模块 加 载 状态 等 系统 
信息 。store.log 包含 Squid 缓存 中 存储 的 对 象 信息 ， 如 存储 时 间 、 大 小 、 超 时 等 。 

接 下 来 主要 分 析 access.log 文件 。 

1236023074.213 628 192.168.100.20 TCP MISS/200 3963 GET 

http://www.baidu.com/ - DIRECT/202.108.22.43 text/html 

各 参数 的 含义 如 下 。 

1236023074.213: Unix 时 间 戳 ， 这 个 大 家 已 经 熟悉 ， 自 1970 年 1 月 1 日 零 时 零 分 零 
秒 开始 到 当前 的 秒 数 ， 精 确 到 毫秒 。 

628: 用 户 发 送 这 个 请 求 等 待 的 时 间 ， 单 位 为 毫秒 。 
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192.168.100.20: 用 户 计 算 机 的 他 地址 。 

TCP_MISS/200: “/” 前 为 Squid 对 用 户 请 求 的 判断 ，“/” 后 的 是 标准 的 HTTP 协议 
代码 。 

3963: 用 户 请 求 数据 的 大 小 ， 单 位 为 字 节 。 

GET: 用 户 请 求 的 方法 。 

http://www.baidu.com/: 用 户 请 求 的 URL。 

“-” 查 询 信 息 ， 通 常 没 有 时 使 用 “-” 代 蔡 。 

DIRECT/202.108.22.43: Squid 对 该 次 请 求 的 处 理 方式 及 请 求 的 他 地 址 。 

text/html: 请 求 对 象 的 类 型 ， 如 文本 类 型 、 图 像 类 型 等 。 

2) 日 志 分 析 软 件 

SARG(Squid Analysis Report Generator) 是 一 个 通用 的 分 析 软 件 ， 它 可 以 分 析 Squid、 
microsoft ISA 等 代理 服务 器 软件 的 日 志 ， 当 然 ， 从 它 的 名 字 不 难看 出 SARG 以 Squid 为 主 
要 对 象 进 行 日 志 分 析 。 它 能 根据 Squid 日 志文 件 生成 用 户 访问 站 点 的 时 间 、 流 量 等 记录 
表 ， 提 供给 系统 管理 员 分 析 和 参考 。 用 户 可 以 从 sarg.sfnet 获取 最 新 版 本 的 SARG， 包 括 
源 文件 和 可 直接 安装 的 Linux 发 行 版 的 二 进 制 包 。 

以 源 代码 安装 包 为 例 ， 从 sarg.sfnet 下 载 SARG 源 代码 包 sarg-2.2.5.tar.gz。 

SARG 没有 特别 的 选项 ， 直 接 配 置 、 编 译 、 安 装 即 可 ， 使 用 SARG 的 前 提 是 需要 安装 
Web 软件 和 Apache 服务器， 代码 如 下 。 

./configure 


make 
make install 


SARG 的 运行 需要 配置 文件 sarg.conf， 如 果 在 编译 前 未 做 任何 prefix 的 定义 ， 那 么 
SARG 会 安装 到 /usr/local/sarg 目录 下 ， 而 sarg.conf 就 在 这 个 目录 里 。SARG 的 主要 执行 文 
件 在 /usrbin 的 目录 下 。 

进入 SARG 配置 文件 sarg.conf 中 简单 配置 就 可 以 使 用 。SARG 配置 文件 的 方法 和 
Squid 配置 文件 的 配置 方法 类 似 ， 只 要 修改 带 有 关键 字 的 行 ， 修 改 如 下 。 

“language english”: 指定 网 页 报告 文件 的 语言 类 型 ， 但 不 支持 中 文 网 页 。 
“access_log /var/log/squid/access.log”: 指定 squid 日 志文 件 的 绝对 路 径 。 
“title "squid user access Ieports”: 指定 网 页 标题 ， 可 以 写 中 文 网 页 ， 先 支持 内 核 。 

“temporary_dir /tmp”: 指定 临时 文件 目录 ， 请 确认 该 目录 所 在 的 分 区 足够 大 ，1GB 
以 上 。 

“output_dir /var/www/html/squid-reports”: 指定 网 页 报告 文件 输出 路 径 ， 推 荐 使 用 
webmaster 或 其 他 非 admin 用 户 运行 SARG。 

“topuser_sort_field connect reverse bytes reverse”: 在 top 排序 中 ， 指 定 连接 次 数 
(connect)， 访 问 字 节 数 (bytes) 采 用 降序 排列 ， 升 序 请 使 用 normal 替代 reverse。 

“user_sort_field connect reverse”: 对 于 每 个 用 户 的 访问 记录 ， 连 接 次 数 按 降 序 排 
列 ， 修 改 完成 后 启动 SARG 服务 /usr/bin/sarg， 在 网 页 中 输入 “http://192.168.100.1/squid- 
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Teport/”， 如 图 14-20 所 示 。 
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图 14-20 ”Squid 报告 
本 章 习 题 
一 、 填 空 题 


1. 防火墙 总 体 分 为 3 类 ， 即 、 
2. 包 过 滤 防 火 墙 是 用 一 个 软件 查看 所 流 经 的 数据 包 的 ， 由 此 决定 整个 包 的 


命运 。 

3. 包 过 滤 是 在 层 实 现 的 ， 包 过 滤 根 据 数 据 包 的 

等 报头 信息 及 数据 包 传输 方向 等 信息 来 判断 是 否 允 许 数据 

包 通过 。 

4. Linux 的 包 过 滤 经 历 了 3 个 阶段 。 

5. 典型 的 防火 墙 设置 有 两 个 网 卡 : 一 个 六- 汤 二 个 

6 NAT 是 通过 将 转换 为 ， 从 而 对 外 隐藏 了 内 部 管理 的 IP 地 址 。 

7. NAT 可 以 分 为 两 种 不 同 的 类 型 : 和 

8. ACL 控制 列表 的 基本 格式 是 

二 、 问 答题 


1. 什么 是 包 过 滤 防 火 墙 和 应 用 级 网 关 ? 

2. netfilter/iptables 的 含义 什么 ? 

3 netfilteriptables 系统 最 重要 的 优点 是 什么 ? 
4. 什么 是 用 户 空间 和 内 核 空 间 ? 

5.、 什么 是 NAT 的 静态 转换 和 动态 转换 ? 

6. 什么 是 SNAT 和 DNAT? 

7. ”Squid 的 日 志文 件 有 哪些 ? 


、 上 机 实 训 
1. 公司 使 用 一 台 运行 RHEL 5 系统 的 服务 器 作为 网 关 ， 分 别 连接 3 个 网 络 ， 其 中 
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LAN1 为 普通 员工 计算 机 所 在 的 局 域 网 ， LAN2 为 DNS 缓存 等 服务 器 所 在 的 局 域 网 。eth0 
通过 10Mb/s 光纤 接 入 Intemet， 如 图 14-21 所 示 。 为 了 有 效 地 管理 网 络 环境 及 增强 内 部 网 
络 的 安全 性 ， 需 要 配置 iptables 防火 墙 规则 实现 基于 了 Pp 地 址 和 端口 的 过 滤 控制 。 

需求 描述 

(1) 允许 从 Intemet 访 问 本 机 的 21、25、80、110、143 端口 。 

(2) 允许 从 主机 201.12.13.14 访问 本 机 的 22 端口 (远程 登录 服务 )。 

(3) 允许 从 主机 192.168.1.5(MAC 地 址 为 00:0C:27:30:4E:5D) 访 问 网 关 的 22 端口 。 

(4) 允许 局 域 网 主机 (LAN1: 192.168.1.0/24) 访 问 本 机 的 3128 端口 (代理 服务 )。 

(5) 允许 LAN1 的 主机 访问 位 于 LAN2 的 DNS 服务 器 (192.168.2.2)。 

(6) 其 他 未 经 明确 许可 的 入 站 数据 包 ， 均 予以 丢弃 。 

(7) 本 机 出 站 的 数据 包 均 允许 。 
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14-21 1 题 图 


实现 思路 

针对 实验 需求 ， 分 别 编写 iptables 规则 并 进行 测试 。 

(1) 使 用 “-s”、“-d” 选 项 指定 源 、 目 标 他 地址 。 

(2) 使 用 “--dport” 选 项 指定 源 、 目 标 端口 。 

(3) 在 FORWARD 链 中 添加 对 转发 数据 包 的 控制 规则 。 

(4) 在 INPUT 链 中 添加 对 入 站 数据 包 的 控制 规则 。 

(5) filter 表 INPUT、FORWARD 链 的 默认 策略 设 为 DROP。 
(6) 开启 路 由 转发 。 
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注意 各 条 规则 的 顺序 关系 。 

2. 公司 的 网 关 服务 器 使 用 RHEL 5 系统 ， 其 eth0 网 卡通 过 光纤 接 入 Internet，ethl 网 
卡 连接 局 域 网 络 。 由 于 只 注册 了 一 个 公 网 瑟 地 址 ， 需 要 在 网 关 服 务 器 上 进行 适当 配置 ， 使 
位 于 局 域 网 内 的 员工 可 以 通过 共享 的 方式 访问 Internet。 另 外 ， 还 需要 将 内 网 的 Web 服务 
器 在 Intemet 上 发 布 ， 作 为 公司 的 电子 商务 平台 ， 如 图 14-22 所 示 。 


Internet > 


.show.com 
eth0: 173.16.16.1/24 
Www.sina.com 
D> ef Se 173.16.16.16/24 


Linux 网 关 服务 器 
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网 PC 机 
192.168.1.100/24 


图 14-22 2 题 图 


需求 描述 

(1) 网 关 主 机 使 用 两 个 网 卡 。 

(2) eth0 接口 (173.16.16.1/24) 连 接 外 网 ，ethl 接口 (192.168.1.1/24) 连 接 内 网 。 

(3) 配置 SNAT 策略 实现 共享 上 网 。 

(4) 从 192.168.1.0/24 网 段 可 以 访问 Internet 的 所 有 应 用 。 

(5) 配置 DNAT 策略 发 布 内 网 中 的 服务 器 。 

(6) 从 外 网 访问 http://173.16.16.1 时 ， 能 够 查看 到 位 于 192.168.1.7 主机 中 的 Web 页 面 文件 。 

(7) 禁止 其 他 未 经 明确 许可 的 数据 包 访 问 。 

实现 思路 

(1) 配置 防火 墙 。 

(2) 使 用 nat 服务 器 。 

(3) 启动 服务 。 

3. 公司 选用 RHEL 5 服务 器 作为 网 关 ， 为 了 有 效 节省 网 络 带宽 、 提 高 局 域 网 访问 
Intemet 的 速度 ， 需 要 在 网 关 服 务 器 上 搭建 代理 服务 ， 并 结合 防火 墙 策略 实现 透明 代理 ， 以 
减少 客户 端的 重复 设置 工作 ， 如 图 14-23 所 示 。 
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14-23 3 题 图 


需求 描述 

(1) 使 用 iptables 设置 SNAT 策略 。 

(2) 使 192.168.2.0/24 网 段 的 主机 通过 NAT 方式 共享 上 网 。 

(3) 配置 Squid 代理 服务 。 

(4) 对 HTTP 访问 进行 缓存 加 速 ， 并 结合 防火 墙 策略 实现 透明 代理 。 
(5) 在 代理 服务 中 进行 访问 控制 。 

(6) 禁止 局 域 网 用 户 下 载 RMVB、MP3 格式 的 文件 。 

(7) 对 超过 3MB 大 小 的 文件 不 做 缓存 ， 禁 止 下 载 超过 8MB 的 文件 。 
(8) 禁止 用 户 访问 qq.com、tencent.com、xxxx.com 等 域 的 网 站 。 

(9) 启用 网 址 过 滤 ， 茜 止 访问 包含 “sex”、 “adult” 字 样 的 链接 。 
实现 思路 

(1) 准备 好 客户 机 及 Internet 测试 服务 器 。 

(2) 正确 配置 各 主机 的 网 络 参数 。 

(3) 局 域 网 主机 将 默认 网 关 设 为 192.168.2.1。 

(4) 在 测试 服务 器 上 启动 httpd 服务 。 

(5) 修改 squid.conf 文件 ， 配 置 透明 代理 支持 、 缓 存 和 下 载 文件 大 小 限制 、 网 址 过 滤 。 
(6) 开启 路 由 转发 ， 添 加 实现 透明 代理 的 REDIRECT 策略 。 

(7) 初始 化 并 启动 Squid 服务 。 


学 习 目 的 与 要 求 : 


如 今 越 来 越 多 的 网 站 采用 Linux 操作 系统 ， 提 供 邮件 、Web、 文 件 存储 、 数 据 库 等 服 
务 。 也 有 非常 多 的 公司 在 企业 内 部 网 中 利用 Linux 服务 器 提供 这 些 服 务 。 随 着 人 们 对 
Linux 服务 器 依赖 的 加 深 ， 对 其 可 靠 性 、 员 载 能 力 和 计算 能 力也 倍加 关注 。Linux 集群 技术 
应 运 而 生 ， 其 可 以 以 低廉 的 成 本 ， 很 好 地 满足 人 们 的 这 些 需 要 。 架 设 高 性 能 、 高 可 靠 性 的 
Linux 服务 器 集群 ， 需 要 做 到 以 下 几 点 。 

@ ”了解 计算 机 集群 的 概念 。 
了 解 计算 机 集群 分 类 。 
熟悉 MySQL 集群 的 概念 。 
熟练 搭建 MySQL 集群 。 
了 解 Linux 双 机 热 备份 概念 。 
熟练 搭建 双 机 热 备份 。 
熟悉 LVS 集群 的 工作 原理 。 
熟练 搭建 LVS 集群 。 


15.1 集 和 群 


简单 地 说 ， 集 群 (ClusteD) 就 是 一 组 计算 机 ， 它 们 作为 一 个 整体 为 用 户 提供 网 络 资源 或 
服务 。 组 内 的 单一 计算 机 系统 就 是 集群 的 节点 QNode)。 一 个 理想 的 集群 是 用 户 不 会 意识 到 
集群 系统 底层 的 节点 ， 在 用 户 看 来 集群 是 一 个 系统 ， 而 非 多 个 计算 机 系统 ， 并 且 集群 系统 
的 管理 员 可 以 随意 增加 和 删改 集群 系统 的 节点 。 


15.1.1 集群 的 概念 


集群 是 由 两 台 或 多 台 节 点 机 (服务 器 ) 构 成 的 一 种 松散 耦合 的 计算 节点 集合 ， 为 用 户 提 
供 网 络 服务 或 应 用 程序 (包括 数据 库 、Web 服务 和 文件 服务 等 )， 同 时 提供 接近 容错 机 的 故 
障 恢 复 能 力 。 集 群 系统 一 般 是 两 台 或 多 台 节点 服务 器 系统 通过 相应 的 硬件 及 软件 互 连 ， 每 
个 群集 节点 都 是 运行 其 自己 进程 的 独立 服务 器 。 这 些 进程 可 以 彼此 通信 ， 对 网 络 客户 机 来 
说 就 像 是 形成 了 一 个 单一 系统 ， 协 同 起 来 为 用 户 提供 应 用 程序 、 系 统 资源 和 数据 。 除 了 作 
为 单一 系统 提供 服务 ， 集 群 系统 还 具有 恢复 服务 器 故障 的 能 力 ， 集 群 系统 还 可 通过 在 集群 
中 继续 增加 服务 器 的 方式 来 增加 服务 器 的 处 理 能 力 ， 并 通过 系统 级 的 宛 余 提供 可 靠 性 和 可 
用 性 的 服务 。 


15.1.2 集群 的 分 类 


1. 高 性 能 计算 科学 集群 

以 解决 复杂 的 科学 计算 问题 为 目的 的 IA(Information Architecture， 即 “信息 构建 ”) 集 
群 系统 是 并 行 计算 的 基础 ， 它 可 以 不 使 用 由 十 至 上 万 个 独立 处 理 器 组 成 的 并 行 超级 计算 
机 ， 而 是 采用 通过 高 速 连接 来 链接 的 一 组 1/2/4 CPU 的 IA 服务 器 ， 并 且 在 公共 消息 传递 层 
上 进行 通信 以 运行 并 行 应 用 程序 。 这 样 的 计算 集群 的 处 理 能 力 与 真正 超级 并 行 机 相等 ， 并 
且 有 具有 优良 的 性 价 比 。 

2. 负载 均衡 集群 


负载 均衡 集群 为 企业 需求 提供 更 实用 的 系统 。 该 系统 使 各 节点 的 负载 流量 可 以 在 服务 器 
集群 中 尽 可 能 平均 合理 地 分 摊 处 理 。 该 负载 需要 均衡 计算 应 用 程序 处 理 端口 负载 或 网 络 流量 
负载 。 这 样 的 系统 非常 适合 于 运行 同一 组 应 用 程序 为 大 量 用 户 提供 服务 。 每 个 节点 都 可 以 处 
理 一 部 分 负载 ， 并 且 可 以 在 节点 之 间 动 态 分 配 负载 ， 以 实现 平衡 。 对 于 网 络 流量 也 如 此 ， 通 
常 网 络 服务 器 应 用 程序 接受 了 大 量 入 网 流量 ， 无 法 迅速 处 理 ， 这 就 需要 将 流量 发 送 给 其 他 节 
点 ， 负 载 均衡 算法 还 可 以 根据 每 个 节点 不 同 的 可 用 资源 或 网 络 的 特殊 环境 来 进行 优化 。 


3. 高 可 用 性 集群 
为 保证 集群 整体 服务 的 高 可 用 性 ， 需 考虑 计算 机 硬件 和 软件 的 容错 性 。 如 果 高 可 用 性 
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群集 中 的 某 个 节点 发 生 了 故障 ， 那 么 将 由 另外 的 节点 代 蔡 它 。 整 个 系统 环境 对 于 用 户 是 一 
致 的 。 
实际 应 用 的 集群 系统 中 ， 两 种 集群 或 是 三 种 集群 一 起 工作 ， 从 而 为 用 户 提供 服务 。 


15.1.3 ”典型 集群 


随 着 集群 技术 的 不 断 发 展 ， 上 述 不 同 种 类 的 集群 都 出 现 了 一 些 成 熟 的 集群 系统 。 

1. 科学 计算 集群 

1) Beowulf 

当 谈 到 Linux 集群 时 ， 很 多 人 的 第 一 反应 是 Beowulf。 它 是 著名 的 Linux 科学 软件 集 
群 系统 。 实 际 上 它 是 一 组 适用 于 在 Linux 内 核 上 运行 的 公共 软件 包 的 通称 。 

2) MOSIX 

Beownulf 类 似 于 给 系统 安装 的 一 个 支持 集群 的 外 挂 软件 ， 提 供 了 应 用 级 的 集群 能 力 。 
而 MOSIX 彻底 修改 Linux 的 内 核 ， 它 对 应 用 而 言 是 完全 透明 的 ， 原 有 的 应 用 程序 可 以 不 
经 常 改动 ， 就 能 正常 运行 在 MOSIX 系统 之 上 。 集 群 中 的 任何 节点 都 可 以 自由 地 加 入 和 移 
除 ， 来 接替 其 他 节点 的 工作 ， 或 扩充 系统 。MOSIX 使 用 自 适应 进程 负载 均衡 和 内 存 引导 
算法 使 整体 性 能 最 大 化 。 应 用 程序 进程 可 以 在 节点 之 间 实 现 迁 移 ， 以 利用 最 好 的 资源 ， 这 
类 似 于 对 称 多 处 理 器 系统 可 以 在 各 个 处 理 器 之 间 切 换 应 用 程序 。 由 于 MOSIX 通过 修改 内 
核 来 实现 集群 功能 ， 所 以 存在 兼容 性 问题 ， 部 分 系统 级 应 用 程序 将 无 法 正常 运行 。 

2. 负载 均衡 /高 可 用 性 集群 

LVS(Linux Virtual Server) 是 一 个 负载 均衡 /高 可 用 性 集群 ， 主 要 针对 大 业务 量 的 网 络 应 
用 (如 新 闻 服 务 、 网 上 银行 、 电 子 商 务 等 )。LVS 建立 在 一 个 主 控 服务 器 (通常 为 双 
机 )(Director) 及 若干 真实 服务 器 (Real Server) 所 组 成 的 集群 之 上 。 真 实 服务 器 负责 提供 实际 
服务 ， 主 控 服 务 器 根据 指定 的 调度 算法 对 真实 服务 器 进行 控制 。 而 集群 的 结构 对 于 用 户 来 
说 是 透明 的 ， 客 户 端 只 与 单个 的 他 (集群 系统 的 虚拟 人 P) 进 行 通信 ， 也 就 是 说 从 客户 端的 视 
角 来 看 这 里 只 存在 单个 服务 器 。 

真实 服务 器 可 以 提供 众多 服务 ， 如 FTP、HTTP、DNS、Telnet、NNTP、SMTP 等 。 
主 控 服 务 器 负责 对 真实 服务 器 进行 控制 。 客 户 端 在 向 LVS 发 出 服务 请 求 时 ， 主 控 服 务 器 会 
通过 特定 的 调度 算法 来 指定 由 某 个 真实 服务 器 来 应 答 请 求 ， 而 客户 端 只 与 负载 平衡 器 的 
JP( 即 虚拟 全，VIP) 进 行 通信 。 

3. 其 他 集群 


现在 集群 系统 可 谓 五 花 八 门 ， 绝 大 部 分 的 操作 系统 开发 商 、 服 务 器 开发 商都 提供 了 系 
统 级 的 集群 产品 ， 最 典型 的 是 各 类 双 机 系统 ， 还 有 各 类 科研 院 校 提供 的 集群 系统 ， 以 及 各 
类 软件 开发 商 提供 的 应 用 级 别 的 集群 系统 ， 如 数据 库 集 群 、Application Server 集群 、Web 
Server 集群 、 邮 件 集群 等 。 


15.2 MySQL 集群 


MySQL 集群 MySQL Clusten) 是 MySQL 适合 于 分 布 式 计算 环境 的 高 实用 、 高 元 余 版 
本 。 它 采用 了 NDB Cluster 存储 引擎 ， 允 许 在 1 个 Cluster 中 运行 多 个 MySQL 服务 器 。 在 
MySQL 5.0 及 以 上 的 二 进 制版 本 中 及 与 最 新 的 Linux 版 本 兼容 的 RPM 中 提供 了 该 存储 引 
擎 。( 注 意 : 要 想 获得 MySQL Cluster 的 功能 ， 必 须 安装 mysql-server 和 mysql-max RPM 
或 从 网 上 下 载 mysql-5.2.3-falcon-alpha.tar.gz 版 本 。) 

目前 能 够 运行 MySQL Cluster 的 操作 系统 有 Linux、Mac OS X 和 Solaris( 一 些 用 户 成 
功 地 在 FreeBSD 上 运行 了 MySQL Cluster， 但 MySQL AB 公司 尚未 正式 支持 该 特性 )。 


15.2.1 MySQL Cluster 简介 


MySQL Cluster 是 一 种 技术 ， 该 技术 允许 在 无 共享 的 系统 中 部 署 “ 内 存 中 ”数据 库 的 
Cluster。 通 过 无 共享 体系 结构 ， 系 统 能 够 使 用 廉价 的 硬件 ， 而 且 对 软 硬 件 无 特殊 要 求 。 此 
外 由 于 每 个 组 件 有 自己 的 内 存 和 磁盘 ， 不 存在 单 点 故障 。 

MySQL Cluster 由 一 组 计算 机 构成 ， 每 台 计 算 机 上 均 运 行 着 多 种 进程 ， 包 括 MySQL 
服务 器 、NDB Cluster 的 数据 节点 、 管 理 服 务 器 及 专门 的 数据 访问 程序 。 

所 有 的 节点 构成 一 个 完整 的 MySQL 集群 体系 。 数 据 保存 在 “NDB 存储 服务 器 ”的 存 
储 引擎 中 ， 表 (结构 ) 则 保存 在 “MySQL 服务 器 ”中 ， 应 用 程序 通过 “MySQL 服务 器 ” 访 
问 这 些 数据 表 ， 集 群 管理 服务 器 通过 管理 工具 Cadb mgmd) 来 管理 “NDB 存储 服务 器 ”。 

通过 将 MySQL Cluster 引入 开放 源码 世界 ，MySQL 为 所 有 需要 它 的 人 员 提 供 了 具有 
高 可 用 性 、 高 性 能 和 可 缩放 性 的 Cluster 数据 管理 。 


15.2.2 MySQL Cluster 的 基本 概念 


“NDB” 是 一 种 “内 存 中 ”的 存储 引擎 ， 它 具有 可 用 性 高 和 数据 一 致 性 好 的 特点 。 
MySQL Cluster 能 够 使 用 多 种 故障 切换 和 负载 平衡 选项 配置 NDB 存储 引擎 ，MySQL 
Cluster 的 NDB 存储 引擎 包含 完整 的 数据 集 。 

目前 ，MySQL Cluster 的 Cluster 部 分 与 MySQL 服务 器 是 单独 分 开 配置 的 。 在 MySQL 
Cluster 中 ，Cluster 的 每 个 部 分 被 视 为 一 个 节点 。 

管理 (MGM) 节 点 : 这 类 节点 的 作用 是 管理 MySQL Cluster 内 的 其 他 节点 机 ， 如 提供 配 
置 数 据 、 启 动 并 停止 节点 、 运 行 备份 等 。 由 于 这 类 节点 负责 管理 其 他 节点 的 配置 ， 应 该 先 
启动 管理 节点 ， 再 启动 其 他 节点 。MGM 节点 是 用 命令 “ndb_mgmd” 启 动 的 。 

数据 节点 : 这 类 节点 用 于 保存 Cluster 的 数据 ， 数 据 节 点 是 用 命令 “ndbd” 启 动 的 。 

SQL 节点 : 这 是 用 来 访问 Cluster 数据 的 节点 。 对 于 MySQL Cluster， 客 户 端 节点 使 
用 NDB Cluster 存储 引擎 的 传统 MySQL 服务 器 。 通常 SQL 节点 是 使 用 命令 “mysqld- 
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ndbcluster” 启 动 的， 或 将 “ndbcluster” 添 加 到 “my.cnf” 后 使 用 “mysqld” 启 动 。 

注释 : 在 很 多 情况 下 ， 术 语 “ 节 点 ”用 于 指 计算 机 ， 但 在 讨论 MySQL Cluster 时 它 表 
示 的 是 进程 。 在 单 台 计 算 机 上 可 以 有 任意 数目 的 节点 ， 为 此 采用 术语 “Cluster 主机 ”。 

管理 (MGM 节点 ) 服 务 器 负责 管理 Cluster 配置 文件 和 Cluster 日 志 。Cluster 中 的 每 个 
节点 从 管理 服务 器 检索 配置 数据 ， 并 请 求 确定 管理 服务 器 所 在 位 置 的 方式 。 当 数据 节点 内 
出 现 新 的 事件 时 ， 节 点 将 关于 这 类 事件 的 信息 传输 到 管理 服务 器 ， 然 后 将 这 类 信息 写 入 
Cluster 日 志 。 

管理 客户 端 与 管理 服务 器 相连 ， 并 提供 了 启动 和 停止 节点 、 启 动 和 停止 消息 跟踪 ( 仅 调 
试 版 本 )、 显 示 节 点 版 本 和 状态 、 启 动 和 停止 备份 等 的 命令 。 


15.3 ”MySQL 集群 配置 


随 着 互联 网 的 不 断 深入 扩张 ， 社 交 网 络 、 高 速 移动 宽带 乃至 连接 到 更 智能 的 设备 和 机 
器 与 机 器 的 交互 (M2M) 数 据 量 正在 爆炸 性 增长 。MySQL 集群 以 无 可 比拟 的 可 扩展 性 、 高 
可 用 性 和 灵活 性 使 得 用 户 能 够 满足 下 一 代 互联 网 、 云 及 通信 服务 的 数据 库 挑战 。 下 面 介绍 
MySQL 集群 的 配置 。 


15.3.1 安装 MySQL 


如 果 已 经 安装 了 MySQL， 请 先 印 载 ， 再 安装 mysql-5.2.3-falcon-alpha.tar.gz， 下 
载 地 址 为 http://mysql.spd.co.i/Downloads/MySQL-5.2/?C=N:0=D。 

首先 解压 tar -zxvf mysql-5.2.3-falcon-alpha.tar.gz， 然 后 打开 解压 出 来 的 文件 夹 ， 编 译 
安装 ， 代 码 如 下 。 

./configure --prefix=/usr --with-extra-charsets=complex --with-plugin-— 

ndbcluster --with-plugin-partition --with-plugin-innobase 

部 分 参数 的 含义 如 下 。 

--prefix=/usr: 指定 安装 目录 是 usr。 

--with-extra-charsets=complex: 配置 服务 器 的 字符 集 。--with-extra-charsets 有 了 两 个 特殊 
的 选项 : 一 个 是 al， 代 表 所 有 可 用 字符 集 ; 一 个 是 complex， 代 表 所 有 的 复杂 字符 集 (包括 
多 字 节 字符 集 和 有 特殊 排序 规则 的 字符 集 )。 

--with-plugin-ndbcluster: 集群 进程 交互 。 

--with-plugin-partition: 在 一 定 的 范围 内 进行 信息 交互 。 

--with-plugin-innobase: 与 存储 引擎 有 关系 。 

编译 成 功 后 如 图 15-1 所 示 。 
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图 15-1 MySQL 数据 库 编 译 成 功 


安装 完成 后 如 图 15-2 所 示 。 


15-2 ”完成 安装 
接 下 来 ， 创 建 一 些 链 接 文 件 ， 目 的 是 把 一 些 数 据 库 命 令 在 /usr/bin 下 建立 符号 链接 ， 从 
而 方便 命令 的 使 用 ， 代 码 如 下 。 


#1ln -s /usr/libexec/ndbd /usr/bin 

#1ln -s /usr/libexec/ndb mgmd /usr/bin 
#1ln -s /usr/libexec/ndb cpcd /usr/bin 
#1ln -s /usr/libexec/mysqld /usr/bin 

#1ln -s /usr/libexec/mysqlmanager /usr/bin 


接着 ， 建 立 用 户 mysql 和 组 mysql， 并 以 mysql 用 户 身份 进行 数据 库 的 安装 ， 代 码 如 下 。 


#groupadd mysql 
#useradd -g mysql mysql 
#mysql install db --user=mysql 


15.3.2 配置 MySQL 集群 


使 用 两 台 Linux 机 作为 MySQL 服务 器 ， 两 台 服 务 器 上 的 MySQL 版 本 、 配 置 文件 路 
径 、 数 据 库 路 径 最 好 一 致 ， 这 样 可 以 最 大 限度 地 减少 出 错 的 概率 。 假 设 两 台 服务 器 的 耳 地 
址 是 192.168.0.13 和 192.168.0.17。 

(1) 在 两 台 MySQL 服务 器 上 做 如 下 配置 。 

创建 NDB 存储 ， 前 面 已 介绍 ， 在 此 不 再 歼 述 
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在 192.168.0.13 的 服务 器 上 执行 如 下 步骤 。 
第 一 步 : 建立 文件 夹 存储 NDB 数据 ， 代 码 如 下 。 


[root@localhost ~]# mkdir -p /var/lib/mysql-cluster/ 


第 二 步 : 为 该 文件 夹 授权 ， 代 码 如 下 。 

[root@localhost ~]# chown -R mysql /var/lib/mysql-cluster/ 

(2) 创建 集群 配置 管理 节点 的 文件 config.ini( 文 件 名 用 户 可 自 定义 )。 两 台 服务 器 节点 
都 是 使 用 同样 的 MySQL 配置 ， 假 设 把 文件 放 在 /etc/mysql 目录 中 。 保 证 两 台 服务 器 上 的 
config.ini 在 相同 的 目录 下 ， 并 且 内 容 相同 ， 如 下 所 示 。 

设置 节点 的 端口 号 ， 代 码 如 下 。 


[tcp default] 
PortNumber=3306 


设置 集群 中 每 个 表 保 存 的 副本 数 ， 这 里 有 两 个 数据 节点 ， 每 个 节点 保存 一 个 副本 ， 代 
码 如 下 。 


[ndbd default] 
NoOfReplicas= 2 
DataDir= /var/lib/mysql-cluster 


设置 管理 进程 ndb_mgmd， 代 码 如 下 。 


[ndb mgmd default] 
DataDir= /var/lib/mysql-cluster 


设置 管理 节点 1， 代 码 如 下 。 


[ndb mgmd] 
Id=1 
HostName=192.168.0.13 


设置 管理 节点 2， 代码 如 下 。 


[ndb mgmd] 
Id=2 
HostName=192.168.0.17 


设置 集群 节点 1， 代 码 如 下 。 


[ndbd] 
Id=3 
HostName=192.168.0.13 


设置 集群 节点 2， 代 码 如 下 。 


[ndbd] 
Id=4 
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HostName=192.168.0.17 


设置 数据 节点 ， 代 码 如 下 。 

[mysqld] 

[mysqld] 

G) 创建 对 应 的 MySQL 配置 。 两 台 服务 器 节点 都 是 用 同样 的 MySQL 配置 ， 在 
/etc/mysql/ 目 录 中 建立 MySQL 的 配置 文件 my.cnf， 其 内 容 如 下 。 


[mysqld] 

default-storage-engine=ndbcluster 

ndbcluster 

ndb-connectstring=192.168.0.13,192.168.0.17 // 定 位 管理 节点 

[ndbd] 

connect-string=192.168.0.13,192.168.0.17 // 定 位 集群 节点 

[ndb mgm] 

connect-string=192.168.0.13,192.168.0.17 //ndb_mgm 可 以 用 来 监控 群集 的 运 
// 行 情况 ， 其 实 就 是 一 个 MysQL 集群 的 管理 工具 

[ndb mgmd] 


config-file=/var/1lib/mysql-cluster/config.ini // 集 群 控制 文件 的 位 置 
[mysql-cluster] 
ndb-connectstring=192.168.0.13,192.168.0.17 ”// 定 位 MysQL 集群 的 管理 节点 


config.ini 和 my.cnf 这 两 个 配置 文件 的 作用 是 配置 了 6 个 节点 : 两 个 集群 管理 节点 、 两 
个 集群 节点 和 两 个 数据 库 节 点 。 它 们 分 别 对 应 到 两 台 计 算 机 ， 其 分 配 情况 如 表 15-1 所 示 。 


表 15-1 MySQL 集群 的 节点 


192.168.0.13 192.168.0.17 


集群 管理 节点 


注意 : 最 后 一 对 数据 库 节 点 5 和 6 并 没有 进行 显示 指示 ， 而 是 在 cluster.ini 中 使 用 了 
两 个 空 的 mysqld 进行 配置 。 


15.3.3 ”启动 MySQL 集群 


配置 完成 后 ， 可 以 尝试 启动 MySQL 集群 ， 首 先 要 关闭 各 个 点 上 的 MySQL 数据 库 ， 
同时 保障 NDB 数据 存储 的 目录 为 空 ， 即 /var/lib/mysql-cluster 目录 为 空 ， 这 对 于 测试 
MySQL 集群 非常 重要 ， 如 果 之 前 运行 过 有 关 MySQL 集群 的 命令 ， 这 个 目录 下 可 能 会 有 一 
些 残留 的 数据 ， 而 这 些 残 留 的 数据 往往 会 造成 集群 测试 的 失败 。 

接 下 来 按照 下 面 的 步骤 执行 ， 注 意 两 台 MySQL 服务 器 上 都 要 运行 。 
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1. 关闭 MySQL 服务 器 

如 果 系 统 中 的 MySQL 服务 器 仍 在 运行 ， 那 么 需要 关闭 它 ， 如 果 没 有 MySQL 登录 密 
码 ， 直 接 输 入 下 面 的 代码 。 

[root@localhost ~]# mysqladmin shutdown 

如 果 有 密码 ， 增 加 一 个 参数 -p， 然 后 系统 会 提示 输入 MySQL 的 登录 密码 ， 代 码 如 下 。 

[root@localhost ~]# mysqladmin -p shutdown 

如 果 是 测试 集群 ， 最 好 清空 所 有 的 NDB 存储 ， 代 码 如 下 。 


[root@localhost ~]# rm -rf /var/lib/mysql-cluster/* 


2. 启动 集群 管理 节点 

在 192.168.0.13 上 运行 ,代码 如 下 。 
[root@localhost ~]# ndb mgmd --ndb-nodeid=1 
在 192.168.0.17 上 运行 ,代码 如 下 。 


Cluster configuration warning: 

arbitrator with id 1 and db node with id 3 on same host 192.168.0.13 
arbitrator with id 2 and db node with id 4 on same host 192.168.0.17 
Running arbitrator on the same host as a database node may 

cause complete cluster shutdown in case of host failure. 


启动 时 会 提示 一 个 警告 ， 节 点 1 和 3，2 和 4 的 arbitrator 一 样 ， 可 能 引起 整个 集群 失 
败 (可 以 不 管 )。 


3. 启动 集群 节点 
在 192.168.0.13 上 运行 ， 代 码 如 下 。 
ndbd --ndb-nodeid=3 


在 192.168.0.17 上 运行 ， 代 码 如 下 。 


ndbd --ndb-nodeid=4 


4. 启动 数据 库 
在 192.168.0.13 上 运行 ， 代 码 如 下 。 


[root@localhost etc]# cd /usr/bin/ 
[root@localhost bin]# ./mysqld safe --ndb-nodeid=5 


在 192.168.0.17 上 运行 ， 代 码 如 下 。 


[root@localhost etc]# cd /usr/bin/ 
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[root@localhost bin]# ./mysqld safe --ndb-nodeid=6 
以 上 就 是 一 个 最 简单 的 MySQL 数据 库 集群 ， 现 在 已 经 配置 完成 并 已 启动 。 


15.3.4 检测 MySQL 数据 库 集群 


现在 MySQL 集群 启动 完成 ， 可 以 使 用 MySQL 集群 管理 工具 ndb mgm 进行 管理 工作 
了 。 在 两 个 节点 的 任意 一 个 节点 上 运行 下 面 命 令 ， 如 图 15-3 所 示 。 


[root@localhost bin]# ndb mgm -e show 

如 果 能 看 到 和 图 15-2 一 样 ， 证 明 MySQL 集群 已 经 正常 运行 ， 不 过 要 检验 是 否 真正 成 
功 还 要 数据 来 检验 。 

进入 任意 一 个 节点 ， 如 192.168.0.13， 进 入 MySQL 服务 器 建立 一 个 user 数据 库 ， 然 
后 再 看 192.168.0.17 上 面 会 不 会 自动 建立 ， 如 图 15-4 所 示 。 


15-3 ”查看 管理 工具 的 版 本 15-4 创建 数据 库 
接 下 来 看 192.168.0.17 上 面 的 MySQL 数据 库 ， 如 图 15-5 所 示 。 可 以 看 到 MySQL 集 
群 创 建成 功 并 且 成 功 运行 。 


图 15-5 查看 是 否 成 功 
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15.3.5 ”MySQL 7.1 集群 版 本 的 安装 


现在 再 使 用 MySQL 7.1， 以 另 一 种 方式 介绍 MySQL 集群 的 配置 。 这 种 配置 方法 也 是 
非常 简便 、 易 用 。 直 接 在 MySQL 官方 网 站 下 载 一 个 已 经 配置 好 的 MySQL 7.1 版 本 直接 解 
压缩 即 可 使 用 。 

试验 的 环境 为 : 3 台 计 算 机 ; 192.168.0.100 为 控制 节点 ; 192.168.0.120、192.168.0.130 
为 集群 节点 和 MySQL 数据 节点 。 

具体 步骤 如 下 。 

(1) 下 载 MySQL， 网 址 为 http://www.mysql.com/downloads/cluster#downloads， 笔 者 下 
载 的 版 本 为 mysql-cluster-gpl-7.1.3-linux-i686-glibc23 .tar.gz。 

(2) 解压 缩 ， 代 码 如 下 。 


Tar -zxvf mysql-cluster-gpl-7.1.3-linux-i686-glibc23.tar.gz 


(3) 解压 出 来 的 目录 更 名 并 移动 到 /usr/local/mysql 目录 下 ， 代 码 如 下 。 

mv mysql-cluster-gpl-7.1.3-linux-i686-glibc23 /usr/local/mysql/ 

(4) 在 另外 两 台 计 算 机 上 也 做 以 上 操作 。 

(5) 在 控制 机 上 也 就 是 192.168.0.100 机 器 上 做 如 下 操作 。 

第 1 步 : 建立 mysql 用 户 和 mysql 组 ， 因 为 MySQL 服务 器 启动 需要 mysql 用 户 和 组 
groupadd mysql， 代 码 如 下 。 

mysqladd -g mysql mysql 

第 2 步 : 将 /usr/local/mysql 目录 的 用 户 和 组 赋予 mysql， 代 码 如 下 。 

chown -R mysql:mysql /usr/local/mysql 

第 3 步 : 在 /var/lib 目录 下 建立 一 个 mysql-cluster 目录 ， 用 于 存储 ndb 的 数据 文件 ， 并 
把 权限 赋予 mysql 用 户 和 组 ， 代 码 如 下 。 


mkdir /var/lib/mysql-cluster 
chown -R mysql:mysql /var/lib/mysql-cluster 


第 4 步 : 在 /etc/ 中 建立 config.ini 管理 节点 的 配置 文件 ， 内 容 如 下 。 


[tcp default] // 控 制 节点 的 端口 号 ( 自 定义 注意 不 要 与 其 他 端口 冲突 ) 
portnumber=2202 
[ndbd default] // 副 本 数 


NoOfReplicas=2 

datadir=/var/lib/mysql-cluster //ndb 数据 文件 的 存储 位 置 

[ndb mgmd default] 

datadir=/var/1ib/mysql-cluster // 控 制 节点 启动 后 会 有 进程 文件 ， 指 明 进程 文件 的 存储 位 置 
[ndb_mgmd] // 控 制 节点 ID 号 为 1，IP 地 址 为 192.168.0.100 
Id=1 

hostname=192.168.0.100 
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ndbd] // 进 程 节 点 1 的 ID 号 为 2，IP 地 址 为 192.168.0.120 
Id=2 

hostname=192.168.0.120 

ndbd] // 进 程 节点 2 的 ID 号 为 3，IP 地 址 为 192.168.0.130 
Id=3 

hostname=192.168.0.130 

mysqld] 

mysqld] 


第 5 步 : 在 集群 节点 和 数据 节点 上 也 要 建立 一 个 config.ini 的 文件 ， 内 容 如 下 ， 并 且 保 
在 /etc/ 目 录 下 ， 还 要 在 /etc/ 目 录 下 建立 一 个 my.cnf 文件 。 


mysqld] 

default-storage-engine=ndbcluster 
ndbcluster 

ndb-connectstring=192.168.0.100 

nqdbd] 
connect-string=192.168.0.130,192.168.0.120 
ndb_mgm] 
connect-string=192.168.0.130,192.168.0.120 
ndb_ mgmd 

config-file=/etc/config.ini 

mysql_cluster] 
ndb-connectstring=192.168.0.100 


至 于 文件 内 容 的 解释 ， 大 家 可 以 参考 5.1 版 本 的 内 容 ， 还 要 在 集群 节点 的 /var/lib 目录 
中 建立 一 个 mysql-cluster 的 目录 用 于 保存 ndbd 的 文件 ， 并 赋予 mysql 用 户 和 组 权限 。 
第 6 步 : 在 192.168.0.100 上 启动 MySQL 管理 ， 如 图 15-6 所 示 。 


15-6 ”启动 管理 节点 服务 器 


启动 管理 后 可 以 查看 一 下 进程 ps -aux， 看 看 管理 节点 是 否 启动 ， 如 图 15-7 所 示 。 


图 15-7 查看 管理 节点 服务 进程 


si 
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第 7 步 : 在 两 个 集群 节点 192.168.0.20 和 192.1680.130 上 启动 集群 节点 服务 和 MySQL 
服务 ， 并 且 使 用 ps-aux 查看 进程 ， 如 图 15-8 所 示 ， 可 以 看 到 ndbd 进程 节点 已 经 启动 。 


图 15-8 ”查看 ndbd 进程 是 否 启动 
接 下 来 启动 MySQL 进程 ， 如 图 15-9 所 示 。 
当 两 台 集群 节点 和 MySQL 节点 的 服务 器 均 已 启动 时 ， 到 管理 节点 192.168.0.100 上 使 
用 ndb_ mgm 命令 进行 查看 ， 如 图 15-10 所 示 。 


15-9 启动 MySQL 进程 


15-10 ”启动 MySQL 服务 


从 图 15-10 中 可 以 看 到 ， 管 理 节点 、 集 群 节点 和 MySQL 节点 均 已 启动 ， 接 下 来 做 破 
坏 性 试验 。 在 192.168.0.120 上 把 MySQL 服务 停 掉 ， 然 后 在 192.168.0.130 上 建立 一 个 
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MySQL 的 数据 库 ， 再 把 192.168.0.120 的 MySQL 服务 打开 ， 此 时 数据 会 自动 同步 到 
192.168.0.120 上 。 

接 下 来 介绍 几 个 MySQL 错误 提示 及 解决 办 法 。 

错误 一 : 


ERROR 2002 (HY000): Can't connect to local MySQL server through socket 
'/tmp/mysql .sock’' 


解决 方法 : 在 tmp 文件 夹 下 建立 一 个 链接 ， 代 码 如 下 。 

ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock 

还 有 一 种 可 能 是 在 config.ini 中 把 3306 端口 改 成 33306 等 其 他 端口 。 
错误 二 : 


WARNING -- 1011 Unable to connect with connect string: nodeid=0,1localhost:1186 
ERROR -- Failed to connect to ourself! 


解决 方法 : 在 hosts 文件 制定 localhost 对 应 自己 的 他 地 址 。 


错误 三 : 

[root@ndbd3 mysql-cluster]# /usr/local/mysql/bin/ndbd --initial 
2013-03-12 15:24:19 [ndbd] INFO =-- Unable to alloc node id 

2013-03-12 15:24:19 [ndbd] INFO =-- Error : Could not alloc node id at 


192.168.0.100 port 1186: Connection done from wrong host ip 

L9216050.130 

error=2350 

2013-03-12 15:24:19 [ndbd] INFO -- Error handler shutting down system 

2013-03-12 15:24:19 [ndbd] INFO -- Error handler shutdown completed - 

exiting 

sphase=0 

exit=-1 

解决 方法 : 将 原 有 的 /usr/local/mysql 删除 ， 重 新 解压 安装 。 

原因 在 集群 的 管理 节点 上 ， 因 为 先前 有 过 一 个 192.168.0.110 的 MySQL 集群 节点 ， 后 
来 改 成 192.168.0.130， 管 理 服务 器 总 是 默认 一 个 集群 节点 是 192.168.0.110， 所 以 
192.168.0.130 启动 集群 节点 的 时 候 启 动 不 起 来 。 


15.4 ”Linux 双 机 热 备 份 


随 着 开 技术 在 越 来 越 多 的 领域 得 到 应 用 ， 业 务 的 连续 性 和 安全 性 的 需求 越 来 越 迫 
切 ，Linux 的 双 机 备份 技术 ， 就 是 为 了 满足 这 些 要 求 而 产生 和 发 展 的 。 下 面 就 以 Linux 下 
的 双 机 热 备份 技术 进行 讲解 。 
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15.4.1 双 机 热 备份 简介 


所 谓 双 机 技术 一 一 双 机 热 备 ( 双 机 容错 ) 就 是 对 于 重要 的 服务 ， 使 用 两 台 服 务 器 互相 备 
份 共同 执行 同一 服务 ， 当 一 台 服 务 器 出 现 故 障 时 ， 可 以 由 另 一 台 服 务 器 继续 运行 服务 ， 从 
而 在 不 需要 人 工 干 预 的 情况 下 ， 自 动 保证 系统 能 持续 提供 服务 。 

双 机 热 备份 由 备用 的 服务 器 解决 了 在 主 服务 器 故障 时 服务 不 中 断 的 问题 。 但 在 实际 应 
用 中 ， 可 能 会 出 现 多 台 服 务 器 的 情况 ， 即 服务 器 集群 。 双 机 热 备份 一 般 情况 下 需要 有 共享 
的 存储 设备 。 但 某 些 情况 下 也 可 以 通过 专业 的 集群 软件 或 双 机 软件 使 用 两 台独 立 的 服务 器 
实现 双 机 热 备份 。 

双 机 一 般 比 较 常见 的 情况 是 一 台 主 服务 器 (master) 和 一 台 辅 助 服务 器 (slaver)， 平 时 由 主 
服务 器 提供 服务 ， 辅 助 服务 器 可 能 运行 服务 ， 也 可 能 不 运行 服务 ， 双 方 通过 某 种 机 制 互相 
检查 对 方 的 运行 状态 是 否 正 常 ， 一 旦 备份 服务 器 检测 到 主 服务 器 发 生 问题 或 关机 ， 辅 助 服 
务 器 就 会 自动 接替 主 服务 器 的 工作 为 用 户 提供 服务 ， 主 、 辅 服务 器 的 切换 都 是 透明 的 ， 用 
户 是 感觉 不 到 任何 变化 的 。 

通过 双 机 技术 ， 人 们 可 以 提供 比 RAID 或 其 他 容错 部 件 更 高 级 的 系统 ， 因 为 这 两 台 机 
器 是 完全 独立 的 ， 主 服务 器 的 任何 一 个 部 件 损坏 或 是 整个 系统 损坏 ， 既 不 会 影响 整个 系统 
的 运转 ， 也 不 会 影响 用 户 的 使 用 。 


15.4.2 ”实现 双 机 的 软件 


通常 意义 上 的 双 机 并 不 需要 硬件 或 操作 系统 的 支持 ， 因 此 在 Linux 平台 上 可 以 使 用 很 
多 种 双 机 或 集群 的 软件 来 实现 ， 这 些 软 件 是 通过 专门 的 通信 传输 通道 实现 的 。 一 般 这 类 软 
件 有 SteelEye 公司 的 LifeKeeper for Linux、ROSE Datasystem 公司 的 RoseHA、Symantec 
公司 的 Veritas 等 ， 但 是 以 上 软件 全 是 商业 软件 ， 需 要 收费 。 在 开源 的 世界 里 有 一 个 
Heartbeat， 该 软件 可 以 说 是 其 中 的 佼佼 者 ， 很 多 Linux 厂商 也 推出 了 自己 的 基于 Heartbeat 
的 HA 服务 器 套件 。 


15.4.3 Heartbeat 简介 及 原理 


Heartbeat 的 中 文 意思 是 “心跳 ”， 它 是 Linux-HA 项 目的 一 部 分 ， 这 个 项 目 提供 一 整 
套 的 Linux 的 高 性 能 服务 器 集群 ， 具 有 可 靠 性 (Reliability)、 高 性 能 (Availability) 和 可 服务 性 
(Serviceablity)。 

Heartbeat 顾名思义 就 是 在 两 台 计算 机 之 间 建 立 一 种 心跳 机 制 ， 当 主 服 务 器 master 出 现 
故障 的 时 候 ， 辅 助 服务 器 slaver 可 以 通过 这 种 心跳 机 制 检测 到 故障 ， 并 且 能 自动 接管 主 辅 
服务 器 提供 的 服务 。 这 种 心跳 机 制 可 以 通过 物理 上 的 串 行 线 或 网 线 实 现 ， 并 且 物 理 上 的 连 
接 与 其 他 连接 是 独立 的 。 

例如 图 15-11 所 示 ， 如 果 两 台 服 务 器 设置 为 HA 双 机 ， 那 么 除了 它们 各 自 的 网 线 与 外 
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界 通信 外 ， 还 有 一 条 单独 的 网 线 进行 心跳 连接 。 当 备份 的 服务 器 和 主 服务 器 间 互 相 检测 
时 ， 通 常 只 能 判断 双方 是 否 能 互相 通信 ， 因 此 独立 的 、 可 靠 的 心跳 线路 是 保证 双 机 不 出 现 
错误 的 前 提 。 


192.168.100.9 


192.168.0.13 192.168.0.17 
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图 15-11 Heartbeat 示意 图 


一 旦 备份 服务 器 检测 到 主 服务 器 出 现 故 障 ， 其 实 是 检测 到 没有 心跳 信息 了 ， 这 时 备份 
服务 器 会 认为 主 服 务 器 已 经 不 能 为 用 户 提供 服务 器 了 ， 此 时 备份 服务 器 会 根据 配置 ， 进 行 
卫 地 址 或 其 他 资源 (如 共享 磁盘 阵列 ) 的 接管 ， 并 且 按 配置 执行 一 系列 的 脚本 ， 启 动 某 些 服 
务 器 ， 如 数据 库 或 Web 服务 器 。 当 主 服务 器 恢复 与 备份 服务 器 的 心跳 通信 时 ， 主 服务 器 接 
管 所 有 的 资源 并 启动 相应 的 服务 ， 而 备份 服务 器 则 需要 执行 相应 的 停止 服务 ， 释 放 资 源 ， 
让 主 服务 器 继续 接管 服务 。 


15.5 ”Linux 双 机 热 备 份 配置 


Linux 双 机 热 备份 配置 过 程 分 为 Heartbeat 软件 包 的 下 载 安装 和 相关 配置 文件 的 设置 两 
部 分 。 下 面 就 Heartbeat 双 机 热 备份 系统 的 配置 进行 详细 的 介绍 。 


15.5.1 获取 安装 Heartbeat 


要 获取 Heartbeat 安装 包 ， 可 以 从 其 官方 网 站 上 下 载 最 新 的 Heartbeat 版 本 ， 下 载 地 址 
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是 www.linux-ha.org。 

和 其 他 软件 一 样 ，Heartbeat 官方 网 站 也 提供 源 代码 下 载 和 编译 后 二 进 制 包 下 载 。 对 于 
Heartbeat 来 说 ， 建 议 使 用 编译 好 的 二 进 制 包 安装 也 就 是 RPM 包 安 装 ， 因 为 Heartbeat 需要 
同时 在 两 台 计 算 机 上 安装 ， 二 进 制 包 在 版 本 和 配置 方面 都 能 保持 一 致 性 。 

下 面 是 双 机 需要 安装 的 软件 包 列 表 。 
heartbeat-2.1.4-2.1.1386.Ipme。 
heartbeat-devel-2.1.4-2.1.1386.Ipme。 
heartbeat-ldirectord-2.1.4-2.1.1386.Ipm。 
heartbeat-pils-2.1.4-2.1.1386.mpm。 
heartbeat-stonith-2.1.4-2.1.1386.1pm。 
libnet-1.1.2.1-2.1.1386.Ipme。 
heartbeat_2.1.4.orig.tar.gz (下 载 该 压缩 包 是 为 了 获得 该 软件 包 中 的 软件 )。 

@ perl-TimeDate-1.16-6.el4.noarch.rpm。 
可 以 到 http://rpmfind.net/linux/rpm2html/search.php?query=perl-TimeDate 下 载 该 软件 
然后 在 Red Hat 上 安装 ， 也 可 以 使 用 Yum 命令 ， 代 码 如 下 。 


[root@localhost ~]# yum install -Y heartbeat 


如 果 是 源 代码 ， 安 装 2.1.4 版 本 heartbeat_2.1.4.orig.tar.gz 可 以 按 以 下 步骤 安装 。 

(1) 解压 并 进入 对 应 的 目录 ， 代 码 如 下 。 

[root@localhost ~]#tar -zxvf heartbeat 2.1.4.orig.tar.gz 

[root@localhost ~]#cd heartbeat 2.1.4 

(2) 准备 Heartbeat 编译 环境 ，Heartbeat 的 新 版 本 需要 Python 解析 器 ， 因 此 要 保证 系 
统 中 有 Python 解析 器 。 

(3) 配置 Heartbeat 编译 ， 代 码 如 下 。 


[root@localhost ~]# ./configure -prefix=/usr/HA 


(4) 编译 和 安装 Heartbeat。 
(5) 安装 完成 。 


15.5.2 ”通过 Heartbeat 配置 双 机 热 备份 


下 面 通过 例子 来 配置 Linux 双 机 ， 如 图 15-12 所 示 。 

假设 有 两 台 计 算 机 serverl 和 server2， 对 外 的 IP 地 址 分 别 是 192.168.0.13 和 
192.168.0.17， 它 们 之 间 的 心跳 地 址 是 192.168.100.9 和 192.168.100.8， 整 个 HA 双 机 对 外 
的 IP 地 址 是 192.168.0.200。 也 就 是 说 ， 当 serverl 工作 时 ， 拥 有 192.168.0.200 这 个 他 地 
址 ， 当 serverl 出 现 问题 时 ，server2 接替 工作 后 就 使 用 192.168.0.200 这 个 人 P 地 址 。serverl 
和 server2 不 能 同时 拥有 192.168.0.200 这 个 人 P 地 址 。 
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图 15-12 双 机 热 备份 系统 IP 示意 图 


然后 在 两 台 计 算 机 上 配置 Heartbeat，Heartbeat 的 配置 文件 有 ha.cf、haresources 和 
authkeys。 
@ ”ha.cf; 是 Heartbeat 的 主要 配置 文件 ， 它 控制 着 Heartbeat 的 工作 方式 。 例 如 ， 什 
么 情况 下 应 该 从 主 服 务 器 切换 到 辅助 服务 器 ， 什 么 时 候 再 从 辅助 服务 器 切换 到 主 
服务 器 。 
@ ”haresources: 控制 双方 进行 切换 时 ， 哪 些 资源 应 该 被 释放 ， 哪 些 资源 应 该 被 保 
留 ， 哪 些 服务 应 当 停止 ， 哪 些 服务 应 当 启动 ， 等 等 。 
@ authkeys: 是 负责 安全 认证 的 文件 ， 用 于 确保 双方 的 身份 是 真实 的 。authkeys 只 对 
于 root 才 可 读 可 写 。 
将 3 个 文件 从 /usr/share/doc/packages/heartbeat 目录 复制 到 /etc/ha 目录 中 ， 也 可 以 在 先 
前 提 到 的 文件 heartbeat 2.1.4.orig tar.gz 中 找到 上 面 3 个 文件 。 


1. ha.cf 文件 介绍 


Heartbeat 安装 完毕 后 ， 在 /etc 目录 下 建立 一 个 文件 夹 ， 名 称 为 ha， 将 上 面 3 个 文件 复 
制 到 新 建 的 文件 夹 里 面 。 
ha.cf 文件 包含 以 下 内 容 。 
@ debugfile /var/log/ha-debug: 这 是 日 志 选 项 ， 对 于 HA 双 机 系统 来 说 ， 日 志 至 关 习 
要 ， 通 信 的 故障 、 服 务 器 的 切换 、 资 源 和 服务 的 状态 ， 都 是 通过 日 志 来 进行 检查 


眶 


第 15 章 Linux 集群 i 只 


的 。 打 开 这 个 选项 ， 将 把 所 有 调用 信息 写 入 对 应 的 文件 中 ， 这 些 信息 非常 详细 |， 
也 非常 多 。 
logfile /var/log/ha-log: logfile 是 标准 的 其 他 非 调试 信息 的 写 入 位 置 。 
logfacility local0: 写 入 日 志 的 日 志 级 别 ， 默 认为 local0。 
keepalive 2: 该 参数 指定 主 服务 器 和 辅助 服务 器 的 心跳 间隔 ， 也 就 是 通信 的 间隔 
单位 为 秒 ， 默 认 是 2， 也 就 是 每 隔 两 秒 通信 一 次 。 

@ ”deadtime 30( 死 亡 时 间 ): 该 参数 指定 等 待 声 明 主 机 死机 的 时 间 。 指 定 30 表示 
Heartbeat 将 在 节点 停止 响应 30 秒 之 后 启动 故障 转移 ， 辅 助 服务 器 会 接替 主 辅 器 
的 工作 继续 为 用 户 提供 服务 。 

@ wamtime 10: 在 日 志 中 发 出 最 后 心跳 “late heartbeat” 前 的 警告 时 间 设 定 (超出 该 
时 间 间 隔 未 收 到 对 方 节点 的 心跳 ， 则 发 出 警告 并 记录 到 日 志 中 )。 

@ initdead 120: 在 一 些 配 置 中 ， 节 点 重启 后 需要 花 一 些 时 间 启 动 网 络 。 这 个 时 间 与 
“deadtime ”不同 ， 要 单独 对 待 。 其 至 少 是 标准 死亡 时 间 的 两 倍 。 

@ ”udpport 694: 设置 udp 的 通信 ，port 默认 是 694， 如 果 计 算 机 有 防火 墙 ， 需 要 打 
开 该 端口 。 
baud 19200: 设置 baud 参数 串口 通信 的 波 特 率 为 19200b/s。 
serial /dev/ttyS0 linux: 当主 辅 服务 器 使 用 串口 进行 通信 时 设置 此 项 ， 如 果 是 网 
线 ， 就 不 必 设 置 该 选项 。 

@ “bcast eth0: 在 哪个 网 络 接口 上 进行 广播 ， 当 使 用 网 络 接口 进行 心跳 连接 时 ， 心 跳 
检查 的 网 卡 应 该 是 和 正常 的 网 卡 分 开 的 ， 这 个 选项 用 于 心跳 检测 。 

@ ”mcast eth0 225.0.0.1 694 1 0: ”该 值 默 认 即 可 ， 用 于 检测 心跳 。 
ucast eth0 192.168.100.9: 改 为 系统 eth0 的 地 址 ， 采 用 eth0 的 udp 广播 来 发 送 心 
跳 信息 。 

@ ”auto_failback off: 设置 当主 服务 器 从 故障 恢复 后 ， 是 否 自动 从 辅助 服务 器 中 切换 
回来 ， 还 是 手动 切换 过 来 。on 为 自动 ，off 为 手动 。 

对 于 ha.cf 文件 中 其 他 的 参数 按 默 认 即 可 。 


2. haresources 文件 


haresources 文件 主要 控制 整个 HA 有 哪些 资源 和 服务 器 ， 在 出 现 故 障 或 故障 恢复 后 ， 
应 当 如 何 控制 这 些 资 源 和 服务 。 
还 注意 :两 个 集群 节点 上 的 该 文件 必须 相同 。 集 群 的 IP 地 址 是 该 选项 必须 配置 的 ， 不 
能 在 haresources 文件 以 外 配置 该 地 址 ，haresources 文件 用 于 指定 双 机 系统 的 主 
节点 、 集 群 全 、 子 网 掩 码 、 广 播 地 址 及 启动 的 服务 等 。 其 配置 语句 格式 如 下 。 


node-name network-config <resource-group> 


其 中 ，node-name 指定 双 机 系统 的 主 节点 ， 取 值 必须 匹配 ha.cf 文件 中 node 选项 设置 


| 
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的 主机 名 ，node 选项 设置 的 另 一 个 主机 名 成 为 从 节点 。network-config 用 于 网 络 设置 ， 包 


括 指定 集群 PP、 子 网 掩 码 、 广 播 地 址 等 。resource-group 用 于 设置 Heartbeat 启动 的 服务 ， 
该 服务 最 终 由 双 机 系统 通过 集群 P 对 外 提供 ， 如 图 15-13 所 示 。 


图 15-13 haresources 文 件 
由 图 15-13 可 以 看 出 ，ma.test.com 是 主 服务 器 计算 机 名 ， 它 控制 的 人 地 址 是 
192.168.0.200， 后 面 的 三 个 是 启动 的 服务 。 
整个 过 程 如 下 。 
(1) 当主 服务 器 出 现 问题 时 ， 备 份 服务 器 首先 在 /etc/ha.d/resource.d 目录 中 的 IPaddr 脚 


本 # 


千 IP 地 址 192.168.0.200， 然 后 再 启动 相应 的 服务 ， 即 httpd、smb 和 mysqld 服务 。 

(2) 当主 服务 器 恢复 时 ， 如 果 ha.cf 文件 中 的 uto_failback 设置 成 on 自动 接替 ， 则 备份 
服务 器 首先 执行 的 是 先 停 止 这 三 个 服务 httpd、smb 和 mysqld， 然 后 执行 /etc/ha.d/resource.d 
目录 中 的 IPaddr 脚本 ,释放 他 地 址 192.168.0.200， 然 后 主 服务 器 执行 /etc/ha.d/resource.d 
目录 中 的 IPaddr 脚本 ， 接 管 IP 地 址 192.168.0.200， 启 动 三 个 服务 。 


3. authkeys 文件 


需要 配置 的 第 三 个 文件 authkeys 决定 了 认证 密 钥 。 其 共有 三 种 认证 方式 : cre、md5 和 
shal 。 如 果 Heartbeat 运行 于 安全 网 络 之 上 ， 如 交叉 线 ， 可 以 使 用 crece， 从 资源 的 角度 来 
看 ， 这 是 代价 最 低 的 方法 ， 如 果 网 络 并 不 安全 ， 但 希望 降低 CPU 的 使 用 ， 则 使 用 mq5; 
如 果 不 考 虑 CPU 的 使 用 情况 ， 则 使 用 shal， 它 在 三 者 之 中 最 难 破解 。 

确保 该 文件 的 访问 权限 是 安全 的 ， 如 0600。 文 件 格式 如 下 。 

auth <number> 

<number> <authmethod> [<authkey>] 
#auth 1 

#1 src 

#2 shal HI! 


#3 md5 Hello! 
auth 2 
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4. src 


不 论 关键 字 auth 后 面 指定 的 是 什么 索引 值 ， 在 后 面 必须 要 作为 键 值 再 次 出 现 。 如 果 指 
定 “auth 4”， 则 在 后 面 一 定 要 有 一 行 ， 内 容 为 “4 <signaturetype>”。 

上 面 对 HA 的 主要 配置 文件 做 了 详细 的 介绍 ， 现 在 就 根据 图 15-14 真正 地 配置 一 个 
双 机 。 


ethl:192. 168. 0. 


服务 器 B 
服务 器 A eth| :192. 168. 0. 17 


图 15-14 双 机 热 备 IP 示意 图 


服务 器 A( 主 服务 器 ) 的 计算 机 名 为 ma.test.com，eth0=192.168.100.9( 心 跳 地 址 )， 
eth1=192.168.0.13( 外 部 使 用 地 址 )。 

服务 器 B( 辅 助 服务 器 ) 的 计算 机 名 为 bf.test.com，eth0=192.168.100.8( 心 跳 地 址 )， 
eth1=192.168.0.17 (外 部 使 用 地 址 )。 

卫 地址 192.168.0.200 是 外 部 客户 点 访问 的 下 地址 。 

第 1 步 : 配置 两 台 服务 器 的 ha.cf 文件 ， 下 面 是 笔者 配置 完成 的 参数 。 


node ma.test.com 

node bf.test.com 

// 以 上 两 行 是 手动 添加 的 

ucast eth0 192.168.100.8 // 如 果 是 服务 器 A 应 该 是 192.168.100.9 
baud 19200 

deadtime 5 

keepalive 1 

initdead 30 

bcast eth0 

udpport 694 
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第 2 步 : 设置 haresources 文件 ， 下 面 是 两 台 服 务 器 的 截图 ， 如 图 15-15 和 图 15-16 所 示 。 


图 15-15 服务 器 人 的 截图 


图 15-16 服务 器 B 的 截图 
还 注意 : ”两 台 计 算 机 的 haresources 设置 一 样 ， 如 下 所 示 。 


Ma.test.com 192.168.0.200 httpd smb mysqld 

其 中 Ma.test.com 是 主 服务 器 的 计算 机 名 ，192.168.0.200 是 外 部 用 户 访问 的 IP 地 址 ， 
后 面 是 各 种 服务 。 

第 3 步 : 配置 authkeys 文件 ， 如 图 15-17 所 示 。 


15-17 设置 加 密 方式 
第 4 步 : 同步 时 间 ， 虽 然 Heartbeat 不 要 求 在 两 台 服务 器 上 使 系统 时 钟 同步 ( 主 服 务 器 
和 备份 服务 器 )， 但 是 系统 时 钟 应 该 在 几 十 秒 之 内 ， 和 否则 在 高 可 用 性 服务 的 环境 下 会 产生 故 
障 。 在 两 个 系统 启动 Heartbeat 之 前 ， 应 该 人 工 检查 并 且 放置 系统 时 间 ( 使 用 date 命令 )。 
种 更 好 的 长 期 的 解决 方法 是 在 两 个 系统 上 使 用 NTP 软件 同步 。 同 步 时 间 格 式 如 下 。 
[root@ma ha]# date -s 2013/04/18 
[root@ma ha]# date -s 14:29:00 


3 注意 : 台 计 算 机 一 定 要 时 间 同 步 。 以 上 就 是 双 机 的 配置 过 程 ， 接 下 来 启动 
Heartbeat 命令 如 下 


Service Heartbeat start 


当主 节点 启动 后 ， 查 看 一 下 日 志 ， 如 图 15-18 所 示 。 
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图 15-18 主 节点 日 志 


可 以 看 到 在 主 节点 上 Heartbeat 已 经 正常 启动 ，httpd 服务 器 和 SMB 服务 器 已 经 启动 ， 
且 耳 地址 已 经 分 配 ， 可 以 使 用 这 onfig 进行 查看 。 


[root@ma ha.d]# ifconfig 


eth0 


Link encap:Ethernet HWaddr 00:0C:29:66:54:3F 


inet addr:192.168.100.9 Bcast:192.168.100.255 Mask:255.255.255.0 


ethl 


ethl:0 


lo 


inet6 addr: fe80 0c:29ff:fe66:543f/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:69863 errors:0 dropped:0 overruns:0 frame:0 
TX packets:847 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:23349706 (22.2 MiB) TX bytes:140129 (136.8 KiB) 
Interrupt:169 Base address:0x2000 


Link encap:Ethernet HWaddr 00:0C:29:66:54:49 

inet addr:192.168.0.13 Bcast:192.255.255.255 Mask:255.0.0.0 
inet6 addr: fe80::20c:29ff:fe66:5449/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:538554 errors:0 dropped:0 overruns:0 frame:0 

TX packets:537895 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 

RX bytes:78450042 (74.8 MiB) TX bytes:36860193 (35.1 MiB) 
Interrupt:185 Base address:0x2080 


Link encap:Ethernet HWaddr 00:0C:29:66:54:49 

inet addr:192.168.0.200 Bcast:192.255.255.255 Mask:255.0.0.0 
UP BROADCAST RUNNING MULTICAST MTU:1600 Metric:1 
Interrupt:185 Base address:0x2080 


Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 


多 
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UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:392241 errors:0 dropped:0 overruns:0 frame:0 
TX packets:392241 errors:0 dropped:0 overruns:0 carrier:0 


collisions:0 txqueuelen:0 


可 以 看 到 这 个 别名 卫 就 是 分 配 的 192.168.0.200， 然 后 关闭 主 服务 器 ， 再 看 一 下 辅助 服 
务 器 的 日 志 ， 如 15-19 所 示 。 


图 15-19 ”辅助 服务 器 日 志 


从 图 15-19 中 可 以 看 出 ， 在 非常 短 的 时 间 内 ， 辅 助 服务 器 检测 到 主 服 务 器 的 心跳 通信 
中 断 ， 从 而 马上 启动 ， 接 蔡 主 服务 器 工作 。 而 此 时 用 ifconfig 在 辅助 服务 器 上 查看 时 ， 将 
可 以 看 到 和 主 服务 器 正常 工作 时 一 样 的 别名 ， 卫 地 址 是 192.168.0.200。 至 此 Linux 双 机 热 
备份 也 就 配置 完成 了 。 


15.6 LVS 集群 服务 器 


使 用 LVS 技术 要 达到 的 目标 是 : 通过 LVS 提供 的 负载 均衡 技术 和 Linux 操作 系统 实 
现 一 个 高 性 能 、 高 可 用 的 服务 器 群集 。 它 具有 良好 的 可 靠 性 、 可 扩展 性 和 可 操作 性 ， 从 而 
以 低廉 的 成 本 实现 最 优 的 服务 性 能 。 下 面 介绍 LVS 集群 服务 器 技术 。 


15.6.1 LVS 集群 服务 器 简介 


LVS 即 Linux 虚拟 服务 器 ， 可 以 实现 Linux 系统 下 各 个 服务 器 的 负载 均衡 。 
LVS 创立 于 1998 年 ， 是 国内 出 现 最 早 的 自由 软件 项 目 之 一 。LVS 项 目的 目标 是 实现 
-个 高 性 能 和 高 可 用 性 服务 器 ， 并 且 使 它 具 有 很 好 的 伸缩 性 、 可 靠 性 和 可 管理 性 。 


15.6.2 LVS 的 工作 原理 


图 15-20 引用 一 个 LVS 官方 网 站 的 结构 图 ， 主 要 体现 了 用 户 、LVS 服务 器 和 真实 服务 
器 之 间 的 关系 。 
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User LVS 集 群 
Internet/Intranet l i 
ey : 辑 LVS 服 务 器 


:真实 服务 器 》 


真实 服务 器 le 


真实 服务 器 


图 15-20 LVS 的 工作 原理 
LVS 和 真实 服务 器 组 成 了 一 个 LVS 集群 为 用 户 提供 服务 ，LVS 和 真实 服务 器 可 以 在 
一 个 局 域 网 ， 也 可 以 在 不 同 的 局 域 网 。 
从 图 15-20 中 也 可 以 看 出 ，LVS 的 工作 原理 就 是 一 个 类 似 人 P 网 关 的 结构 ， 对 于 外 部 用 
户 来 说 只 能 看 到 LVS， 任 何 请 求 发 送 给 LVS， 再 由 LVS 转发 给 内 部 的 真实 服务 器 ， 真 实 
服务 器 完成 请 求 后 把 结果 返回 给 LVS， 最 后 由 LVS 再 发 给 外 部 的 客户 端 。 


15.6.3 LVS 的 工作 模式 
在 LVS 中 ，LVS 和 真实 服务 器 有 三 种 工作 模式 ， 即 NAT 模式 、IP 隧道 模式 和 直接 路 
由 模式 。 


1. NAT 模式 

实现 负载 均衡 的 方式 主要 是 使 用 NAT( 网 络 地 址 转换 )， 它 将 LVS 当 作 一 个 NAT 网 关 
使 用 ， 拥 有 一 个 合法 的 了 地 址 ， 同 时 任何 针对 此 也 地 址 的 请 求 都 会 按照 算法 将 其 转发 到 
局 域 网 中 的 真实 服务 器 ， 然 后 真实 服务 器 处 理 完 请 求 后 将 结果 发 送 给 LVS， 再 由 LVS 转 
发 给 用 户 。 

2. IP 隧道 模式 

用 下 隧道 模式 实现 虚拟 服务 器 这 种 方法 是 集群 的 节点 在 不 同 的 网 络 中 使 用 转发 机 制 ， 
将 他 封装 在 其 他 网 络 流量 中 。 可 以 使 用 隧道 技术 中 的 VPN 和 租用 专线 。 

3. 直接 路 由 模式 


直接 路 由 模式 是 通过 改写 请 求 报 文 的 MAC 地 址 ， 将 请 求 发 送 到 真实 服务 器 ， 而 真实 
服务 器 将 响应 直接 返回 给 客户 端 。 


LinuX 操作 与 服务 器 配置 实用 教程 


4. 三 种 工作 模式 的 特点 


从 服务 器 的 链接 方式 来 看 ，NAT 模式 支持 任何 方式 的 访问 ， 而 IP 隧道 模式 只 能 通过 
隧道 访问 后 台 的 服务 器 。 但 是 从 网 络 布局 来 说 ，NAT、 直 接 路 由 模式 都 要 求 所 有 的 真实 
服务 器 和 LVS 在 同一 个 局 域 网 中 ， 而 卫 隧道 模式 中 真实 服务 器 和 LVS 可 以 不 在 一 个 局 
域 网 中 。 

从 支持 服务 器 量 来 看 ，NAT 模式 支持 服务 器 较 少 ， 而 IP 隧道 模式 和 直接 路 由 模式 支 
持 较 多 。 

从 网 关 方 式 来 看 ， 只 有 在 NAT 模式 下 ， 真 实 服务 器 必须 指定 LVS 作为 网 络 管理 员 ， 
而 其 他 两 种 模式 不 需要 指定 。 

综 上 所 述 ， 要 部 署 一 个 局 域 网 内 的 小 型 负载 均衡 系统 ， 使 用 NAT 模式 比较 适合 ， 而 
IP 隧道 模式 适合 真实 服务 器 分 布 在 Internet 上 的 情况 。 


15.6.4 LVS 的 算法 

在 LVS 中 针对 不 同 的 网 络 服务 需求 和 服务 器 配置 IPVS 调度 器 ， 实 现 了 如 下 8 种 负载 
调度 算法 。 

1. 轮 叫 

调度 器 通过 “ 轮 叫 ”(Round Robin，RR) 调 度 算法 将 外 部 请 求 按 顺序 轮流 分 配 到 集群 
中 的 真实 服务 器 上 ， 它 均等 地 对 待 每 一 台 服务 器 ， 而 不 管 服务 器 上 实际 的 连接 数 和 系统 
负载 。 

2. 加 权 轮 叫 

调度 器 通过 “加 权 轮 叫 ”(Weighted Round Robin，WRR) 调 度 算法 ， 根 据 真实 服务 器 
的 不 同 处 理 能 力 来 调度 访问 请 求 。 这 样 可 以 保证 处 理 能 力 强 的 服务 器 处 理 更 多 的 访问 流 
量 。 调 度 器 可 以 自动 问 询 真实 服务 器 的 负载 情况 ， 并 动态 地 调整 其 权 值 。 

3. 最 少 链接 

调度 器 通过 “最 少 链接 ”(Least Connections，LC) 调 度 算法 动态 地 将 网 络 请 求 调度 到 已 
建立 的 链接 数 最 少 的 服务 器 上 。 如 果 集 群 系统 的 真实 服务 器 具有 相近 的 系统 性 能 ， 采 用 
“最 小 连接 ”调度 算法 可 以 较 好 地 均衡 负载 。 

4. 加 权 最 少 链接 

在 集群 系统 中 的 服务 器 性 能 差异 较 大 的 情况 下 ， 调 度 器 采用 “加 权 最 少 链接 ” 
(Weighted Least Connections，WLC) 调 度 算 法 优化 负载 均衡 性 能 ， 有 具有 较 高 权 值 的 服务 器 
将 承受 较 大 比例 的 活动 连接 负载 。 调 度 器 可 以 自动 问 询 真 实 服务 器 的 负载 情况 ， 并 动态 地 
调整 其 权 值 。 
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5. 基于 局 部 性 的 最 少 链接 


“基于 局 部 性 的 最 少 链接 ”(Locality-Based Least Connections，LBLC) 调 度 算法 是 针对 
目标 人 P 地 址 的 负载 均衡 ， 目 前 主要 用 于 Cache 集群 系统 。 该 算法 根据 请 求 的 目标 IP 地 址 
找 出 该 目标 他 地 址 最 近 使 用 的 服务 器 ， 若 该 服务 器 是 可 用 的 且 没有 超载 ， 将 请 求 发 送 到 该 
服务 器 ; 若 服务 器 不 存在 ， 或 者 该 服务 器 超载 且 有 服务 器 处 于 一 半 的 工作 负载 ， 则 用 “最 
少 链接 ”的 原则 选 出 一 个 可 用 的 服务 器 ， 将 请 求 发 送 到 该 服务 器 。 


6. 带 复制 的 基于 局 部 性 最 少 链接 


“ 带 复 制 的 基于 局 部 性 最 少 链接 ” (Locality-Based Least Connections with 
Replication，LBLCR) 调 度 算法 也 是 针对 目标 卫 地 址 的 负载 均衡 ， 目 前 主要 用 于 Cache 集 
群 系统 。 它 与 基于 局 部 性 的 最 少 链接 算法 的 不 同 之 处 是 ， 它 要 维护 从 一 个 目标 卫 地 址 到 一 
组 服务 器 的 映射 ， 而 基于 局 部 性 的 最 少 链接 算法 维护 从 一 个 目标 I 了 P 地 址 到 一 台 服 务 器 的 映 
射 。 该 算法 根据 请 求 的 目标 人 P 地 址 找 出 该 目标 于 地 址 对 应 的 服务 器 组 ， 按 “最 小 连接 ” 
原则 从 服务 器 组 中 选 出 一 台 服 务 器 ， 若 服务 器 没有 超载 ， 将 请 求 发 送 到 该 服务 器 ， 若 服务 
器 超载 ， 则 按 “ 最 小 连接 ”原则 从 这 个 集群 中 选 出 一 台 服 务 器 ， 将 该 服务 器 加 入 服务 器 组 
中 ， 将 请 求 发 送 该 服务 器 。 同 时 当 该 服务 器 组 有 一 段 时 间 没有 被 修改 时 ， 将 最 忙 的 服务 器 
从 服务 器 组 中 删除 ， 以 降低 复制 的 程度 。 

7. 目标 地 址 散 列 


“目标 地 址 散 列 ”(Destination Hashing，DH) 调 度 算法 将 请 求 的 目标 IP 地 址 作为 散 列 
键 (Hash Key)， 从 静态 分 配 的 散 列表 中 找 出 对 应 的 服务 器 。 若 该 服务 器 是 可 用 的 且 未 超 
载 ， 将 请 求 发 送 到 该 服务 器 ， 否 则 返回 空 。 

8. 源 地 址 散 列 


“ 源 地 址 散 列 ”(Source Hashing，SHD) 调 度 算法 将 请 求 的 源 IP 地 址 作为 散 列 键 从 静态 
分 配 的 散 列表 中 找 出 对 应 的 服务 器 。 若 该 服务 器 是 可 用 的 且 未 超载 ， 将 请 求 发 送 到 该 服务 
器 ， 否 则 返回 空 。 


15.6.5 管理 LVS 


用 户 可 以 像 使 用 iptables 一 样 使 用 一 些 工具 对 内 核 中 的 LVS 模块 进行 管理 。 管 理 LVS 
的 工具 称 为 ipvsadm， 可 以 通过 二 进 制 安装 ， 也 可 以 使 用 Yum 进行 安装 。 安 装 好 后 可 以 使 
用 ipvsadm 管理 LVS，ipvsadm 有 很 多 命令 ， 与 许多 的 Linux 软件 一 样 支持 长 命令 ， 同 时 
ipvsadm 的 命令 分 为 两 级 格式 。 

ipvsadm 一 级 指令 二 级 命令 二 级 命令 参数 

一 级 指令 只 是 告诉 ipvsadm 要 执行 的 操作 类 型 ， 但 是 具体 要 执行 哪些 操作 ， 还 要 看 具 
体 的 二 级 指令 。 下 面 是 一 些 重要 指令 的 用 法 。 
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(1) 管理 LVS 的 虚拟 服务 在 管理 LVS 的 时 候 ， 首 先 要 做 的 是 定义 和 管理 LVS 的 虚拟 
服务 。 

-A (--add-service): 是 一 个 一 级 指令 增加 一 个 新 的 虚拟 服务 记录 ， 也 就 是 为 用 户 提供 
一 个 新 的 服务 ， 这 种 服务 需要 LVS 进行 调度 ， 最 终 发 送 给 真实 服务 器 ， 具 体 如 何 添加 这 个 
服务 还 要 看 二 级 指令 。 

-s: 指定 服务 使 用 的 算法 ，LVS 支持 的 算法 前 面 已 经 介绍 过 。 

-或 -u: 指定 这 个 虚拟 服务 器 的 协议 类 型 ， 后 面 跟 的 是 他 地 址 和 端口 号 。 

例如 ，ipvsadm -A -t 192.168.0.254:80 -s rr 表示 为 192.168.0.254 地 址 80 端口 增加 一 个 
针对 TCP 协议 的 虚拟 服务 ， 使 用 立 算法 。 

-E (-edit-service): 是 编辑 某 个 虚拟 服务 器 的 指令 。 例 如 ，ipvsadm -E -t 192.168.0.254: 
80 -slc 表示 把 192.168.0.254 主机 的 算法 改 成 le 算法 。 

-D: 删除 LVS 列表 的 某 个 虚拟 服务 记录 。 例 如 ，ipvsadm -D -t 192.168.0.254:80。 

-C: 清空 LVS 列表 。 

-L: 查看 LVS 列表 。 

-Z: 清空 计数 器 。 

-c: 显示 当前 的 LVS 连接 状况 。 

(2) 管理 真实 的 服务 器 ， 在 完成 虚拟 服务 器 的 定义 后 ， 就 要 给 这 些 虚拟 服务 器 定义 真 
实 的 服务 器 。 

-a: 添加 一 个 真实 服务 器 。 

-或 -u: 指定 这 个 虚拟 服务 器 的 协议 类 型 ， 后 面 跟 的 是 他 地 址 和 端口 号 。 

-rT (--real-server): 指定 真实 服务 器 的 地 址 和 端口 号 。 

LVS 与 这 台 真 实 服务 器 之 间 的 工作 模式 有 以 下 几 种 。 

-g: 直接 路 由 模式 。 

-i: IP 隧道 模式 。 

-m: nat 模式 。 

-w(--weight): 指定 服务 器 的 权重 ， 通 常 权 重 是 正 整 数 ， 如 1、2、3。 例 如 ， 增 加 一 台 
真实 服务 器 : ipvsadm -a -t 192.168.0.254 :80 -r 10.0.0.1:80 -m -w 2。 该 命令 是 为 虚拟 服务 器 
192.168.0.254 增加 一 个 真实 服务 器 10.0.0.1 协议 ，TCP 端口 是 80，NAT 方式 权重 是 1 。 

-e(--edit-server): 修改 指定 真实 服务 器 。 

-d(--delete-server): 删除 指定 真实 服务 器 。 


15.6.6 配置 LVS 集群 


下 面 介 绍 LVS 两 个 模式 的 配置 方法 : 一 种 是 NAT 模式 ， 另 一 种 是 直接 路 由 模式 。 
1. NAT 模式 的 配置 方法 


在 配置 LVS 之 前 要 查看 内 核 是 否 支持 LVS，2.6 版 本 的 内 核 大 部 分 已 经 支持 了 LVS， 
对 于 2.4 的 内 核 还 要 编译 一 下 。 
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使 用 menuconfig 选择 Networking | Networkingoptinos 选项 中 的 IP: Virtual Server 
Configuration。 这 个 菜单 下 全 部 是 LVS 的 相关 选项 ， 如 果 不 知道 这 些 选项 的 含义 ， 就 全 部 
选 上 并 以 模块 方式 编译 (M)。 查 看 服务 器 是 否 支持 LVS， 在 /usr/src/kernels 目录 中 有 一 个 以 
内 核 版 本 命名 的 文件 夹 ， 进 入 该 文件 来， 然后 输入 命令 make menuconfig， 如 图 15-21 所 示 。 


15-21 选择 LVS 相关 选项 


在 确认 Linux 内 核 已 经 支持 LVS 后 进行 配置 。 

(1) 安装 ipvsadm 工具 。 使 用 Yum 方式 安装 或 使 用 安装 光盘 中 的 RPM 包 安 装 。 

(2) 使 用 如 图 15-22 所 示 的 网 络 结构 来 添加 LVS 虚拟 服务 器 和 真实 服务 器 ， 这 里 引用 
LVS 官方 网 站 的 图 片 ， 与 其 不 同 的 是 此 处 的 真实 服务 器 有 两 台 。 


RealA 
和 192.168.0.23 


Client 
192.168.100.25 
LVS Server ly 
Hub 
园 RealB 
» 192.168.0.24 
192.168.100.1 192.168.0.40 


15-22 LVS 虚拟 服务 器 和 真实 服务 器 的 网 络 结构 


Real A: IP 地 址 192.168.0.23 。 

Real B: IP 地 址 192.168.0.24。 

LVS server: eth0: 192.168.0.40，eth1: 192.168.100.1。 
client: IP 地 址 192.168.100.25。 

G) 在 内 部 的 真实 服务 器 上 安装 httpd 服务 。 

(4) 在 VLS 服务 器 上 开启 内 核 的 转发 机 制 ， 代 码 如 下 。 


echo 1 > /proc/sys/net/ipv4/ip firword 


Linux 操作 与 服务 器 配置 实用 教程 


(5) 在 LVS 服务 器 上 添加 虚拟 服务 器 ， 代 码 如 下 。 


ipvsadm -A -t 192.168.100.1: 80 -s rr 


为 本 机 192.168.100.1 添加 一 个 针对 TCP 协议 80 端口 的 虚拟 服务 ， 使 用 的 算法 是 轮 询 
算法 。 
(6) 在 LVS 服务 器 上 增加 对 应 的 真实 服务 器 ， 代 码 如 下 。 


ipvsadm -a -t 192.168.100.1: 80 -r 192.168.0.23 
ipvesadn =a =t 192.168>100-1:. 80 =—r 192.168.0-24 


= = 
el 

添加 完成 后 用 client 访问 192.168.100.1 页 面 ， 然 后 分 别 转 发 到 192.168.0.224 和 
192.168.0.23。 使 用 ipvsadm -L 查看 ， 如 图 15-23 所 示 。 


Er -6 “J# ipusadm -L 


图 15-23 ”查看 连接 链 


千 注意 : ”上 面 的 例子 使 用 的 是 LVS 的 NAT 模式 ， 权 重 为 1， 真实 服务 器 的 网 关 指向 
192.168.0.40。 


2. 直接 路 由 模式 的 配置 方法 


如 图 15-24 所 示 ， 内 部 有 两 台 真 实 服务 器 。 


吕 
了 下 


na 


真实 服务 器 将 回应 直接 发 送 给 用 上 


| 。 真实 服务 器 


| 芍 / 


将 用 户 请 求 发 给 内 部 的 真实 服 


15-24 直接 路 由 模式 


LVS 服务 器 的 也 地 址 ， 内 部 网 卡 eth0 为 192.168.0.25， 外 部 网 卡 ethl 为 10.0.0.250。 
真实 的 服务 器 有 两 台 : Real Server 1 和 Real Server 2， 每 台 上 有 两 个 网 卡 ，IP 地 址 分 
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别 如 下 。 
Real Serverl ethl 10.0.0.3，eth0 192.168.0.38。 
Real Server2 ethl 10.0.0.1，eth0 192.168.0.40。 
(D 在 LVS 服务 器 上 配置 ， 添 加 虚拟 服务 器 ， 代 码 如 下 。 


ipvsadm -A -t 192.168.0.25:80 -s rr 
添加 真实 服务 器 ， 代 码 如 下 。 


[root@new-host-6 ~]# ipvsadm -a -t 192.168.0.25:80 -r 10.0.0.1:80 -g -w 1 
[root@new-host-6 ~]# ipvsadm -a -t 192.168.0.25:80 -r 10.0.0.3:80 -g -w 1 


开启 内 核 路 由 转发 功能 ， 代 码 如 下 。 

[root@new-host-6 ~]# echo 1 > /proc/sys/net/ipv4/ip forward 

(2) 首先 启动 httpd 服务 ， 在 真实 服务 器 上 配置 。 在 回环 设备 上 添加 一 个 PP 地 址 ， 这 
个 他 地 址 要 和 LVS 服务 器 接 外 网 地 址 的 卡 的 他 地 址 一 样 ， 代 码 如 下 。 

Lo:0 192.168.0.25 netmask 255.255.255.255 

此 处 用 lo 而 不 用 eth， 因 为 eth 是 外 部 网 络 接 口 ， 如 果 配 置 成 192.168.0.25 将 导致 卫 


地 址 冲突 。 
防止 后 端的 真实 服务 器 应 答 虚拟 瑟 的 arp 信息 ， 并 防止 地 址 冲突 ， 其 代码 如 下 。 


> /proc/sys/net/ipv4/conf/lo/arp announce 
echo '1' > /proc/sys/net/ipv4/conf/lo/arp ignore 
echo '2' > /proc/sys/net/ipv4/conf/all/arp announce 
> /proc/sys/net/ipv4/conf/all/arp ignore 


cho 2 


echo '1" 


在 两 台 真实 服务 器 上 也 要 开启 路 由 转发 功能 。 

(3) 使 用 客户 端 访问 http:/192.168.0.25 可 以 以 轮 询 的 方式 访问 内 部 的 真实 服务 器 ， 真 
实 服务 器 返回 的 结果 不 经 过 LVS 服务 器 ， 而 是 通过 另 一 个 网 卡 直接 返回 客户 端 ， 这 样 大 大 
减少 了 LVS 服务 器 的 开销 ， 如 图 15-25 所 示 。 


图 15-25 路 由 
本 章 习 题 


一 、 填 空 题 
1. 集群 就 是 ， 它 们 作为 向 用 户 提供 一 组 网 络 资源 。 
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2. MySQL Cluster 是 MySQL 适合 于 分 布 式 计 算 环境 的 、 版 本 。 
采用 了 存储 引擎 ， 允 许 在 1 个 Cluster 中 运行 多 个 MySQL 服务 器 。 

3. “NDB” 是 一 种 的 存储 引擎 ， 具 有 和 性 好 的 特点 。 

4. 通过 双 机 技术 ， 人 们 可 以 提供 比 RAID 或 其 他 容错 部 件 更 高 级 的 系统 ， 因 为 这 两 台 服务 
器 是 的 ， 主 服务 器 的 任何 一 个 部 件 损坏 或 是 整个 系统 损坏 ， 既 不 会 影响 整个 
也 不 会 影响 用 户 

5. LVS 的 意思 是 

6. LVS 的 管理 工具 是 

二 、 问 答题 
集群 分 为 几 类 ?分 别 是 什么 ? 
什么 是 MySQL Cluster 的 管理 节点 、 数 据 节 点 、SQL 节点 ? 
什么 是 双 机 热 备 份 ? 
双 机 热 备 份 有 3 个 配置 文件 ， 它 们 各 是 什么 ? 各 起 到 什么 作用 ? 
什么 是 LVS 集群 ? 它 产 生 的 目的 是 什么 ? 
LVS 的 工作 模式 有 几 种 ? 分 别 是 什么 ? 它们 的 特点 是 什么 ? 

三 、 上 机 实 训 

1. 公司 的 业务 不 断 扩大 ， 数 据 量 及 数据 的 安全 性 也 越 来 越 重 要 ， 公 司 决 定 将 数据 库 进 
行 升级 ， 将 原 有 的 单 台 MySQL 服务 器 改 为 MySQL 双 机 进行 数据 的 备份 和 容错 。 

需求 描述 

(1) MySQL 是 一 个 高 性 能 、 多 线程 、 多 用 户 、 建 立 在 c/s 器 结构 上 的 关系 型 数据 库 管 
理 系 统 。 

(2) 在 两 台 Linux 服务 器 上 ， 下 载 MySQL 的 集群 版 本 ， 如 果 是 mysql-5.2， 编 译 安 
装 ， 如 果 是 mysql-7.1 版 本 直接 解压 缩 使 用 。 

实现 思路 

(1) mysql-5.2 版 本 编译 安装 时 候 的 参数 为 --with-extra-charsets=complex --with-plugin- 
ndbcluster --with-plugin-partition --with-plugin-innobase。 

(2) 创建 MySQL 相关 文件 的 链接 文件 。 

(3) 建立 MySQL 用 户 和 组 。 

(4) 在 两 台 MySQL 服务 器 上 做 如 下 配置 。 

Q@ 创建 NDB 存储 。 

@ 建立 管理 节点 文件 config.ini。 

@ 建立 MySQL 的 主 配置 文件 my.cnf。 

2. 使 用 两 台 Linux 服务 器 搭建 基于 Web 服务 、FTP 服务 器 、 邮 件 服务 的 双 机 热 备 
份 ， 如 图 15-26 所 示 。 


(us 


| 
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Server2 


wy ethl:192. 168.2. 1 
192. 168. 0.17 


图 15-26 2 题 图 
需求 描述 
(1) 使 用 Heartbeat 软件 在 两 台 Linux 服务 器 进行 热 备 份 。 
(2) 使 用 Yum 安装 或 下 载 软件 使 用 RPM 安装 方法 。 
(3) 在 防火 墙 上 设置 DNAT.。 
实现 思路 
(1) 配置 Heartbeatr 的 3 个 文件 。 
(2) 结合 防火 墙 设置 DNAT。 
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学 习 目 的 与 要 求 : 
虚拟 化 服务 器 是 使 用 虚拟 化 软件 (如 VMware) 在 一 台 物 理 服 务 器 上 虚拟 出 一 台 或 多 台 
虚拟 机 (Virtual Machine，VM)， 安 装 在 服务 器 上 的 虚拟 化 软件 被 称 为 VMM(Virtual 
Machine Monitor)。 它 是 剑桥 大 学 计算 机 实验 室 开发 的 一 个 开源 项 目 。 虚 拟 机 运行 在 一 个 隔 
离 环境 中 ， 是 具有 完整 硬件 功能 的 逻辑 服务 器 ， 每 个 虚拟 机 具有 自己 的 操作 系统 和 应 用 程 
序 。 本 章 讲解 了 虚拟 机 的 配置 及 使 用 方面 的 技术 ， 通 过 对 本 章 的 学 习 ， 读 者 应 该 做 到 以 下 


几 点 。 
熟练 安装 和 使 用 VMware 虚拟 机 。 


. 
@ ”熟练 使 用 Webmin 工具 。 


16.1 虚拟 机 


一 台 服 务 器 上 的 多 个 虚拟 机 可 以 互 不 影响 地 同时 运行 ， 并 复 用 物理 机 资源 。 虚 拟 化 软 
件 为 虚拟 机 提供 一 套 虚 拟 的 硬件 环境 ， 包 括 虚拟 的 CPU、 内 存 、 存 储 设 备 、IO 设备 (如 网 
卡 ) 及 虚拟 交换 机 等 。 在 计算 机 上 运用 虚拟 软件 ， 可 以 安装 操作 系统 、 应 用 软件 以 及 访问 网 
络 等 。 


16.1.1 虚拟 机 简介 


为 了 使 读者 能 在 一 台 计 算 机 上 模拟 出 网 络 环境 ， 更 好 地 安装 和 测试 新 的 操作 系统 ， 下 
面 介绍 虚拟 机 的 安装 方法 和 使 用 方法 。 

虚拟 机 软件 就 是 在 一 台 计算 机 上 能 虚拟 出 一 个 或 多 个 虚拟 的 环境 ， 即 虚拟 的 操作 界 
面 ， 以 便 更 好 地 对 一 些 软件 进行 测试 或 者 在 不 同 的 系统 间 切 换 。 虚 拟 机 的 实际 用 途 有 以 下 
几 个 方面 。 

(1) 初学 者 总 是 担心 把 计算 机 和 弄 坏 ， 但 又 想 学 得 深入 一 些 ， 如 学 习 安装 操作 系统 ， 用 
户 在 虚拟 机 上 操作 (如 格式 化 ) 不 会 使 硬盘 数据 丢失 ， 因 为 用 户 实际 是 在 虚拟 机 的 硬盘 上 操 
作 ， 虚 拟 的 硬盘 只 是 一 个 文件 ， 不 用 担心 由 于 安装 其 他 操作 系统 而 破坏 硬盘 上 的 重要 数据 。 

(2) 公司 计算 机 的 操作 系统 进行 升级 ， 但 是 原 软件 又 不 能 在 该 系统 上 运行 ， 如 财务 软 
件 、ERP 软件 ， 原 数据 又 不 能 丢失 ， 使 用 虚拟 机 可 以 让 用 户 运行 原 操作 系统 ， 把 原来 的 软 
件 安装 到 虚拟 机 中 即 可 。 

G) 在 虚拟 机 上 安装 系统 时 可 以 利用 抓 图 功能 ， 要 想 抓 取 安装 系统 时 的 图 像 ， 虚 拟 机 
软件 可 以 提供 很 大 方便 。 


16.1.2 ”常用 的 虚拟 机 软件 介绍 


常用 的 虚拟 机 软件 有 : Virtual PC( 又 称 VPC， 即 虚拟 计算 机 )、Virtual Box 和 VMware。 
利用 这 几 款 虚拟 机 软件 都 可 以 在 Windows 系统 下 安装 Linux 系统 ， 这 为 所 有 想 学 习 Linux 
的 用 户 提供 了 极 大 的 便利 。 

Virtual PC 原来 是 Connectix 公司 的 产品 ， 该 公司 在 2003 年 被 Microsoft 公司 收购 ， 该 
软件 可 以 在 用 户 的 计算 机 上 同时 模拟 出 多 个 操作 系统 ， 虚 拟 的 操作 系统 使 用 起 来 和 真实 的 
系统 无 多 大 区 别 ， 用 户 可 以 进行 BIOS 设置 ， 可 以 对 硬盘 分 区 格式 化 ， 还 可 以 安装 
Windows、Linux 及 Unix 操作 系统 ， 此 软件 为 向 导 式 应 用 软件 ， 安 装 很 容易 。 

VirtualBox 是 德国 一 家 软件 公司 InnoTek 所 开发 的 虚拟 机 系统 软件 ，VirtualBox 不 仅 具 
有 丰富 的 特色 ， 而 且 性 能 也 很 优异 。 更 是 开源 的 ， 成 了 一 个 发 布 在 GPL 许可 之 下 的 自由 软 
件 。VirtualBox 可 以 在 Linux 和 Windows 主机 中 运行 ， 并 支持 在 其 中 安装 Windows、 
Linux、OpenBSD 等 系列 的 客户 操作 系统 。 

VMware 是 一 个 全 英文 的 商品 化 软件 ， 它 同时 是 一 款 功能 强大 的 桌面 虚拟 计算 机 软 
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件 ， 提 供用 户 可 在 单一 的 桌面 上 同时 运行 不 同 的 操作 系统 ， 和 进行 开发 、 测 试 、 部 署 新 
的 应 用 程序 的 最 佳 解决 方案 。 本 章 主要 对 Vmware 进行 介绍 。 


16.2 ”VMware 软件 的 安装 及 使 用 


获得 VMware 软件 包 后 ， 需 要 进行 简单 的 安装 才 可 以 使 用 ， 安 装 虚拟 机 软件 的 过 程 非 
常 简 单 ， 只 要 按照 向 导 的 说 明 一 步 步 进行 就 可 以 完成 虚拟 机 的 安装 。 这 个 安装 过 程 都 是 英 
语 环境 的 ， 我 们 一 般 选 择 默认 就 可 以 了 。 下 面 介 绍 VMware 软件 的 安装 方法 。 


16.2.1 VMware 软件 的 安装 


先 到 官方 网 站 下 载 VMware 软件 (该 软件 在 其 他 的 网 站 也 有 破解 版 )， 这 里 下 载 了 一 个 
针对 Windows 系统 的 Vmware 9 的 普通 用 户 版 本 ， 接 下 来 即 可 进行 VMware Workstation 的 
安装 。 

(1) 双击 安装 程序 ， 进 入 欢迎 界面 ， 按 照 提 示 单 击 Next 按钮 ， 如 图 16-1 所 示 。 

(2) 选择 安装 方式 ， 如 果 熟 练 的 用 户 可 以 选择 Custom 定制 安装 ， 否 则 按照 默认 的 方式 
安装 ， 单 击 Typical 图 标 ， 如 图 16-2 所 示 。 
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图 16-1 欢迎 界面 图 16-2 选择 安装 类 型 


(3) 如 图 16-3 所 示 为 虚拟 机 安装 的 路 径 ， 也 可 以 单 击 Change 按钮 自 定义 安装 路 径 ， 
单 击 Next 按钮 ， 如 图 16-4 所 示 。 

(4) 提示 是 否 检查 软件 更 新 ， 如 果 选 中 Check for product updates on startup 复 选 框 ， 会 
在 开始 后 检查 是 否 有 新 的 产品 版 本 并 安装 它们 ， 按 照 默 认 方 式 单 击 Next 按钮 继续 ， 如 
图 16-4 所 示 。 

(5) 选择 是 否 将 反馈 信息 发 送 到 VMware 网 站 ， 如 果 选 中 Help improve VMware 
Workstation 复 选 框 ， 则 把 反馈 信息 自动 发 送 给 VMware 网 站 ， 单 击 Next 按钮 继续 ， 如 
图 16-5 所 示 。 

(6) 选择 是 否 在 桌面 和 开始 菜单 上 建立 快捷 方式 和 程序 菜单 ， 同 样 单 击 Next 按钮 继 
续 ， 如 图 16-6 所 示 。 
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图 16-5 发 送信 息 到 VMware 图 16-6 创建 快捷 方式 
(7) 接 下 来 是 准备 提示 ， 这 时 可 以 单 击 Back 按钮 返回 到 前 面 的 界面 进行 重新 选择 ， 如 
果 确 定 以 前 选择 不 再 更 改 ， 则 单 击 Continue 按钮 开始 安装 ， 如 图 16-7 所 示 。 
Ready to Perform the Requested Operations [a] 
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16-7 开始 安装 


虚拟 机 安装 完成 后 必须 重新 启动 计算 机 方 可 正常 运行 虚拟 机 ， 安 装 完成 后 可 以 下 载 一 
个 汉化 包 把 界面 改 成 中 文 ， 以 便于 配置 使 用 。 下 面 将 以 汉化 后 的 程序 进行 讲解 。 
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16.2.2 ”虚拟 机 的 使 用 


启动 虚拟 机 ， 进 入 的 运行 界面 ， 如 图 16-8 所 示 。 可 以 看 到 图 16-8 中 有 很 多 选项 ， 如 
果 用 户 有 现成 的 虚拟 操作 系统 文件 ， 可 以 单 击 “ 打 开 虚 拟 机 ”图 标 ， 从 而 使 用 之 前 安装 过 


的 虚拟 操作 系统 。 下 面 以 “新 建 虚拟 机 ”为 例 ， 来 学 习 如 何 新 建 一 个 新 的 虚拟 操作 系统 。 
VMware Workstation 9 © 


16-8 VMware Workstation 9 的 主 界面 


CD 单 击 “ 新 建 虚 拟 机 ”图 标 ， 进 入 欢迎 界面 ， 如 图 16-9 所 示 ， 按 照 默认 的 选项 单 击 
“下 一 步 ”按钮 。 
(2) 安装 的 方式 可 以 选择 光盘 安装 ， 如 有 ISO 镜像 文件 ， 也 可 以 使 用 ISO 镜像 安装 ， 
如 图 16-10 所 示 ， 在 此 选择 “安装 盘 镜 像 文 件 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 继续 。 
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图 16-9 欢迎 界面 图 16-10 选择 安装 介质 


(3) 在 图 16-11 和 图 16-12 所 示 的 界面 中 建立 一 个 虚拟 机 名 称 ， 并 设置 用 户 名 和 密码 ， 
然后 单 击 “ 下 一 步 ” 按 钮 。 

(4) 命名 虚拟 机 并 选择 虚拟 机 所 安装 的 操作 系统 所 在 位 置 ， 在 这 个 界面 里 ， 使 用 者 可 
以 自行 选择 虚拟 机 文件 存放 的 目录 ， 虚 拟 机 文件 位 置 目录 确定 后 ， 单 击 “ 下 一 步 ” 按 钮 。 
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图 16-11 建立 虚拟 机 名 称 图 16-12 设置 用 户 名 和 密码 


(5) 设置 虚拟 操作 系统 将 要 占用 的 物理 磁盘 空间 大 小 和 文件 的 存储 形式 ， 使 用 者 根据 
自己 的 硬盘 空间 情况 来 确定 磁盘 空间 大 小 ， 单 击 “ 下 一 步 ”按钮 继续 ， 如 图 16-13 所 示 。 
(6) 查看 设置 信息 ， 显 示 的 信息 和 期 望 值 没 有 问题 后 ， 单 击 “完成 ”按钮 结束 配置 ， 


如 图 16-14 所 示 。 
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(7) 设置 内 存 大 小 ， 在 这 个 界面 里 根据 提示 和 物理 内 存 的 情况 可 以 有 选择 地 改变 虚拟 
操作 系统 的 内 存 大 小 ， 如 图 16-15 所 示 。 
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(8) 显示 虚拟 机 设 定 参数 完成 后 的 最 后 提示 信息 ， 设 置 完 成 后 ， 即 可 启动 虚拟 机 。 单 
击 图 16-16 中 的 “打开 此 虚拟 机 电源 ”按钮 ， 设 置 CD-ROM 使 用 ISO 文件 安装 Linux 系 
统 ， 即 可 在 此 虚拟 机 上 安装 Linux 系统 ， 如 图 16-17 所 示 。 


Iw 
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图 16-16 设置 完成 后 的 虚拟 机 信息 图 16-17 开始 安装 操作 系统 


16.3 Webmin 简介 和 安装 


Linux 下 的 系统 和 网 络 管理 工具 很 多 ， 其 中 有 些 是 Linux 系统 自 带 的 工具 ， 而 有 些 工 
具 需 要 下 载 安装 。 这 些 软 件 功 能 强大 而 且 使 用 方便 ， 是 学 习 Linux 系统 必须 掌握 的 工具 。 

大 多 数 用 户 在 配置 Linux 各 个 服务 器 时 都 会 很 头痛 ， 在 Linux 下 的 服务 实在 太 多 ， 而 
且 每 个 服务 器 都 有 一 个 或 几 个 配置 文件 ， 在 修改 配置 文件 时 很 容易 出 错 ， 而 且 不 容易 找到 
问题 所 在 ， 这 对 于 初学 者 来 说 是 一 件 很 麻烦 的 事 。 熟 悉 Windows 环境 下 配置 网 络 服务 的 用 
户 对 于 Linux 环境 下 编写 配置 文件 一 般 是 很 不 习惯 的 ， 这 时 可 以 通过 Webmin 工具 对 系统 
的 用 户 账号 、 性 能 、 服 务 、 网 络 、 日 志 等 各 项 进行 管理 和 配置 。 其 最 大 的 优点 是 在 图 形 界 
面 下 配置 ， 让 使 用 者 一 目 了 然 。 


16.3.1 Webmin 简介 


Webmin 是 一 款 优秀 的 Unix 和 Linux 系统 管理 软件 ， 通 过 相关 的 配置 界面 可 以 让 用 户 
轻松 地 对 Linux 系统 进行 管理 ， 甚 至 配置 目前 Linux 上 运行 的 所 有 服务 。 它 支持 大 部 分 
Unix 和 Linux 系统 版 本 ， 默 认 的 端口 号 是 1000， 支 持 ssl 加 密 ， 它 还 可 以 让 用 户 使 用 远程 计 
算 机 上 的 浏览 器 ， 直 接 修改 系统 中 的 账号 、Apache 服务 、DNS 服务 和 Samba 服务 等 设置 。 

Webmin 的 管理 工具 是 通过 Web 页 面 的 方式 来 实现 的 ， 所 有 的 操作 方法 简单 而 且 直 
观 ， 很 适合 初学 者 使 用 。 


16.3.2 Webmin 的 下 载 和 安装 


Webmin 下 载 的 地 址 有 很 多 ， 使 用 者 可 以 到 百度 和 Google 上 搜索 ， 也 可 以 到 它 的 官方 
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网 站 去 下 载 ， 这 里 从 http:/www.Webmin.com/download.html 官方 网 站 下 载 一 个 比较 新 的 
版 本 软件 包 Webmin-1.620.tar.gz， 如 果 下 载 的 版 本 是 RPM 格式 ， 需 要 使 用 RPM 的 安装 
方式 。 

Webmin-1.620.tar.gz 软件 包 的 安装 过 程 如 下 。 


[root@localhost ~]# cd /home/dai 
[root@localhost dai]# 1s 
Webmin-1.620.tar.gz 

[rootelocalhost dai]# tar -zxvf Webmin-1.620.tar.gz 使 用 tar 命令 解压 
Webmin-1.620/postfix/images/Imagel164.gif 
Webmin-1.620/postfix/images/transport .gif 
Webmin-1.620/postfix/images/p2.gif 
Webmin-1.620/postfix/images/manual .gif 
Webmin-1.620/postfix/images/debug.gif 
Webmin-1.620/postfix/images/address rewriting.gif 
Webmin-1.620/postfix/images/smallicon.gif 
Webmin-1.620/postfix/images/resource.gif 
Webmin-1.620/postfix/aliases.cgi 
Webmin-1.620/postfix/flushq.cgi 
Webmin-1.620/postfix/boxes-lib.pl 
Webmin-1.620/postfix/save ffile.cgi 
Webmin-1.620/postfix/save client.cgi 
Webmin-1.620/postfix/edit master.cgi 
Webmin-1.620/postfix/config.info 
Webmin-1.620/postfix/body.cgi 
Webmin-1.620/postfix/dependent .cgi 
Webmin-1.620/postfix/config.info.nl 
Webmin-1.620/postfix/sasl.cgi 
Webmin-1.620/postfix/map chooser save.cgi 
Webmin-1.620/postfix/view mailq.cgi 
Webmin-1.620/postfix/address_ rewriting.cgi 
Webmin-1.620/postfix/config.info.ru SU 
Webmin-1.620/postfix/save opts header.cgi 
Webmin-1.620/postfix/config.info.es 
Webmin-1.620/postfix/edit manual.cgi 
Webmin-1.620/postfix/edit afile.cgi 
Webmin-1.620/postfix/save opts aliases.cgi 
Webmin-1.620/postfix/install check.pl 


[root@localhost dai]# 1s 

Webmin-1.620 Webmin-1.620.tar.gz 

[rootelocalhost dai]# cd Webmin-1.620 // 进 入 解压 出 来 的 目录 
[root@localhost Webmin-1.620]#./setup.sh // 安 装 Webmin 


灵 太 友 友 大 二 到 到 下去 去 到 赤 坟 二 到 二 友 志 二 到 二 南下 去 直到 南 支 二 文责 支 二 去 二 去 到 到 南下 支 页 妈 下 云 直到 下 云南 支 下去 二 二 坟 丰 坟 直 文 直 直到 支 天 二 南开 页 


友 Welcome to the Webmin setup script，version 1.620* // 版 本 信息 
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放 订 商 表 两 训 闪闪 认识 认 册 认 光 兴 庙 训 让 识 兴 光 兴 光 计 克 训 训 训 次 次 次 次 训 训 训 交 半 央 各 高 各 关 商 训 认 认 庙 闪 庙 闪 庙 认 计 认 刘 刘 刘 刘 光 计 计 贡 计 刘 计 刘 庆 计 六 

Webmin is a web-based interface that allows Unix-like operating 

systems and common Unix services to be easily administered. 

Installing Webmin in /home/dai/Webmin-1.620 ... 

放 放 商 珊 识 训 闪闪 认识 认 认 庙 光 庙 计 训 训 识 认 光 守 训 交 克 训 训 训 次 训 训 次 训 次 训 次 半山 碳 训 训 尖 庆 训 高 认 商 商 闪 庙 认 庙 认 刘 认 刘 认 刘 刘 贡 刘 计 庙 交 友 计 刘 刘 计 认 

Webmin uses separate directories for configuration files and log files. 

Unless you want to run multiple versions of Webmin at the same time 

you can just accept the defaults. 

Config file directory [/etc/Webmin] :// 选 择 Webmin 的 安装 目录 ， 如 果 按 照 默认 目录 
// 按 Enter 键 

Log file directory [/var/Webmin] : “ // 选 择 日 志文 件 的 存放 目录 ， 如 果 按照 默认 目录 按 
//Enter 键 


高 识 页 高 让 高 识 庙 商 识 训 识 闪 高 庆 识 高 夺 商 识 冯 高 计 次 高兴 页 尖 识 庙 识 庙 次 训 座 凌 高 抽 碳 识 闪 页 识 次 识 商 庆 商 高 商 识 商 六 商 计 认识 训 交 训 商 商 页 计 页 太 六 大 认 


Webmin is written entirely in Perl. Please enter the full path to the 
Perl 5 interpreter on your system. 


Full path to perl (default /usr/bin/perl): 


Perl seems to be installed ok 


认 关 友 页 认 页 大 太庙 页 大 雄关 计 闪 雄 商 友 黄 友 次 雄 庙 闪 商 大庄 闪 庙 闪 碳 次 碳 闪 认 识 认 庄 识 庙 商 庙 各 大 高 闪 识 大 交大 次 碳 凌 庙 关 商 闪闪 庄 识 六 庙 友 大 庙 雄 太庙 六 六 


Operating system name: Redhat Enterprise Linux 
Operating system version: 5 


碳 大 友 页 磊 砍 磊 庆 碳 太 磊 大 碳 庙 雄 大 克 庙 碎 关 容 突 训 庙 次 庄 闪 碳 突 碳 闫 碳 庙 友 庙 友 突 认 庄内 庄 闪 页 认 详 闪 闪闪 庙 闫 碳 突 庙 庙 庙 庙 商 计 友 夫 太庙 友 磊 庙 碳 页 庙 太 认 


Webmin uses its own password protected web server to provide access 
to the administration programs. The setup script needs to know : 
- What port to run the web server on. There must not be another 
web server already using this port. 
- The login name required to access the web server. 
- The password required to access the web server. 
- If the webserver should use SSL (if your system supports it). 
- Whether to start Webmin at boot time. 
Web server port (default 10000) : // 设 置 端 口号 ,， 默认 是 10000。 如 果 按照 默认 方式 直 


// 接 按 Enter 键 

Login name (default admin) : // 设 置 管理 登录 账号 ， 默 认 是 admin， 可 直接 按照 默 
// 认 设置 ， 按 Enter 键 

Login password: // 设 置 admin 登录 密码 

Password again: // 再 输入 一 次 


The Perl SSLeay library is not installed. SSL not available. 

Start Webmin at boot time (y/n): y // 是 否 在 系统 启动 时 启动 Webmin， 默 认 是 启动 
训 商 认可 两 让 克 闪 次 交 交 六 次 丰 加 六 次 让 高 类 克 交 闪闪 次 计 太 庙 克 次 训 克 宙 各 六 商 训 认 认识 次 轴 六 次 交 雁 轴 认 克 交 训 闪 次 次 庙 宙 次 认 六 交 克 友 六 让 让 交大 闪闪 
Creating web server config files.. 

.done 


Creating access control file.. 


done 


Inserting path to perl into scripts.. 


..done 


Creating start and stop scripts.. 
-. .done 


Copying config files.. 
..done 


Configuring Webmin to start at boot time.. 
Created init script /etc/rc.d/init.d/Webmin 
.done 


Creating uninstall script /etc/Webmin/uninstall.sh .. 
..done 


Changing ownership and permissions .. 
.done 


Running postinstall scripts .. 
.done 


Attempting to start Webmin mini web server.. 
Starting Webmin server in /home/dai/Webmin-1.620 
. .done 
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Webmin has been installed and started successfully. Use your web 
browser to go to 


http://localhost.localdomain:10000/ // 如 果 在 本 机 登录 在 浏览 器 中 输入 http:// 
//1localhost .localdomain:10000/ 并 且 输入 先前 的 用 户 名 和 密码 即 可 登录 到 Webmin 的 管理 
// 界 面 ， 到 此 安装 完成 


16.3.3 ”启动 Webmin 


在 本 地 或 其 他 计算 机 的 浏览 器 中 输入 主机 名 或 人 P 地 址 加 端口 号 ， 如 http://localhost. 
localdomain:10000/。 

在 Webmin 的 登录 界面 ( 见 图 16-18) 中 输入 用 户 名 (之 前 配置 的 用 户 名 ， 默 认 admin) 和 
密码 (如 果 用 户 是 下 载 的 RPM 包 格 式 的 Webmin 安装 程序 ， 安 装 完成 后 直接 输入 root 及 其 
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密码 ) 后 ， 单 击 Login 按钮 就 可 进入 管理 界面 。 


Login to Webmin 
You must entet a usemame and password to 


回 Remember login 


permanently? 


[Eon [cee] 


图 16-18 登录 界面 
16.4 Webmin 相关 配置 选项 简介 


Webmin 自身 的 配置 界面 中 有 7 个 选项 ， 用 于 配置 Webmin 用 户 的 权限 、 更 改 操 作 的 
语言 、 对 Linux 操作 系统 中 磁盘 的 监控 、 用 图 形 化 的 方式 配置 Linux 下 的 各 个 服务 器 等 。 


1. Webmin 选项 


启动 Webmin 后 进入 Webmin 的 主 配 置 界面 ， 如 图 16-19 所 示 。 选 择 Webmin 的 主 配 
置 界面 左 侧 第 一 项 Webmin 选项 ， 进 入 Webmin 自身 配置 界面 ， 如 图 16-20 所 示 。 


mo Backup Configuraton Files 


a ee em 


16-19 ” Webmin 的 主 配 置 界面 16-20 Webmin 自身 配置 界面 


Webmin 自身 配置 界面 的 7 个 选项 中 ， 最 常用 到 的 是 Webmin Configuration 和 Webmin 
User 两 个 选项 ， 下 面 对 这 两 个 选项 进行 介绍 。 

1) Webmin 的 语言 配置 

选择 Webmin Configuration 选项 ， 系 统 将 打开 Webmin Configuration 窗口 ， 如 图 16-21 
所 示 。 在 该 窗口 中 有 多 个 Webmin 的 配置 选项 ， 如 用 户 界面 管理 、IP 地 址 控制 、 端 口 控制 
等 ， 下 面 先 介绍 语言 选项 。 

对 于 英文 不 熟 的 朋友 ， 在 语言 选项 中 可 以 改 成 中 文 界面 ， 单 击 Language 图 标 ， 打 开 
Language 窗口 ， 如 图 16-22 所 示 。 
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16-21 Webmin Configuration 窗口 16-22 Language 窗口 


在 Language 窗口 中 ， 用 户 可 以 根据 自己 的 需要 在 显示 的 语言 (Display in Language) 后 
单 击 下 拉 菜 单 ， 从 中 选择 要 更 改 的 语言 ， 这 里 选择 Simplified Chinese (ZN_CN) 选 项 ， 设 置 
后 单 击 Change Language 按钮 ， 浏 览 器 就 会 显示 中 文 ， 最 好 退出 Webmin 重新 进入 一 下 ， 
如 图 16-23 所 示 。 

2) Webmin 的 用 户 管理 

返回 图 16-20 所 示 界 面 中 的 Webmin 自身 配置 界面 ， 单 击 “Webmin 用 户 管理 ”图 
标 ， 系 统 将 会 打开 “Webmin 用 户 管理 ”窗口 ， 如 图 16-24 所 示 。 
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16-23 ”中 文 界面 的 “Webmin 配置 ”窗口 16-24 “Webmin 用 户 管理 ”窗口 


在 该 窗口 中 列 出 了 Webmin 的 用 户 ， 当 然 现 在 只 有 一 个 admin 用 户 ， 在 该 界面 中 可 以 
进行 建立 Webmin 用 户 和 组 及 为 用 户 授 权 等 操作 。 

现在 建立 一 个 新 的 用 户 并 为 其 授权 ， 如 图 16-25 所 示 。 建 立 了 一 个 用 户 dai， 该 用 户 只 
有 Webmin 用 户 管理 权限 ， 退 出 Webmin 并 重新 使 用 用 户 dai 登录 ， 如 图 16-26 所 示 。 可 
以 看 到 dai 用 户 的 Webmin 界面 中 只 有 一 个 权限 ， 即 配置 用 户 管理 。 在 用 户 管理 中 ， 管 理 
员 可 以 根据 需要 为 每 一 个 用 户 设置 不 同 的 权限 。 

如 图 16-26 所 示 ， 和 输入 dai 用 户 的 用 户 名 及 密码 后 登录 ， 显 示 dai 用 户 只 有 一 个 权限 ， 
即 用 户 管理 的 权限 。 
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图 16-25 建立 用 户 图 16-26 dai 用 户 的 权限 
2. 系统 选项 


在 系统 配置 中 可 以 更 改 用 户 密码 、 系 统 用 户 的 权限 、 进 程 、 软 件 包 安 装 、 系 统 日 志 配 
置 、 使 用 手册 等 管理 选项 ， 而 这 些 管理 选项 是 管理 员 通 过 控制 台 进 行 配置 和 管理 的 。 系 统 
窗口 中 包括 很 多 选择 ， 大 多 数 是 常用 的 选项 ， 如 Cor 调度 、 用 户 与 群 组 管理 、 系 统 日 志 
管理 等 ， 如 图 16-27 所 示 。 
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16-27 ”系统 选项 
3. 服务 器 选项 


在 服务 器 选项 的 窗口 中 ， 可 以 通过 Webmin 图 形 界面 配置 Linux 系统 中 的 各 种 服务 
器 ， 如 Apache、DNS、Sabma 等 ， 如 图 16-28 所 示 。 用 户 可 以 打开 各 个 服务 器 的 配置 


界面 。 

4. 网 络 选项 

在 网 络 配 置 选项 中 可 以 配置 ADSL 拨号 、 防 火 墙 、 网 卡 、 路 由 和 网 关 等 ， 如 图 16-29 
所 示 。 
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图 16-28 ”服务 器 配置 选项 图 16-29 网 络 配置 
5. 硬件 配置 


单 击 “Webmin 配置 ”窗口 中 的 “硬件 ”图 标 ， 打 开 硬 件 配置 窗口 ， 在 该 窗口 中 可 以 
配置 硬盘 、 打 印 机 、 系 统 时 间 等 。 打 开 Edit Disk Partitions 界面 ， 可 以 看 到 磁盘 的 分 区 情况 
及 使 用 情况 ， 如 图 16-30 所 示 。 
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16-30 硬件 配置 
6. 其 他 配置 选项 


单 击 “Webmin 配置 ”窗口 中 “其 他 ”选项 ， 可 打开 “系统 和 服务 器 的 状态 ”界面 ， 
在 该 界面 中 ， 用 户 可 以 设置 服务 器 状态 、 设 置 SSH 和 Telnet 登录 等 ， 如 图 16-31 所 示 。 
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7. 群集 选项 


单 击 “Webmin 配置 ”窗口 中 的 群集 图 标 ， 打 开 Cluster Change Passwords 界面 ， 如 
图 16-32 所 示 。 在 该 界面 中 可 以 对 Linux 群集 进行 设置 。 


-下 六 


16-32 ”群集 设置 
8. Un-used Modules 选项 


在 该 选项 中 列 出 了 现在 系统 中 没有 安装 的 模块 ， 如 图 16-33 所 示 。 


16-33 ”未 安装 的 模块 


本 章 习 题 
一 、 填 空 是 


1. 虚拟 机 软件 就 是 在 一 台 计算 机 上 能 虚拟 出 一 个 或 多 个 


， 即 虚拟 的 操作 界 
面 ， 以 便 更 好 地 对 一 些 软 件 进行 测试 或 者 在 不 同 的 系统 间 切 换 。 


2. Virtual PC 是 一 款 很 好 的 软件 ， 它 原来 是 Connectix 公司 的 产品 ， 该 公司 在 年 
被 收购 。 

3. VMware 是 一 个 全 英文 的 商品 化 软件 ， 它 分 为 面向 普通 用 户 的 VMware 
Workstation 和 面向 企业 用 户 的 


两 个 版 本 。 
4. ”Webmin 的 默认 端口 号 是 
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5. Webmin 是 一 款 优秀 的 Unix 和 Linux 系统 管理 软件 ， 通 过 相关 可 以 让 用 
户 轻 松 地 对 Linux 系统 进行 管理 。 
二 、 问 答题 
1. 虚拟 机 的 实际 用 途 有 什么 ? 
2. Webmin 工具 对 初学 Linux 的 人 而 言 有 什么 好 处 ? 
三 、 上 机 实 训 
1. 下 载 最 新 版 本 虚拟 机 VMware 9 和 该 版 本 的 汉化 包 ， 对 其 安装 并 在 安装 好 的 虚拟 
机 中 安装 一 个 全 新 的 Linux。 
2. 安装 好 Linux 后 ， 在 互联 网 上 下 载 Webmin 的 安装 包 webmin-1.600-1.noarch rpm， 
并 安装 Webmin。 
要 求 : 
配置 Webmin 中 文 界 面 。 
添加 一 个 Webmin 普通 用 户 。 
@ 在 Webmin 下 配置 一 个 Samba 服务 器 (Samba 服务 器 要 先 用 光盘 安装 后 方 可 在 
Webmin 中 配置 )。 


